Зашифрованы файлы.

[AlexGrub]

Зашифрованы файлы, требуется помощь по возвращению их в исходное состояние до заражения. Во вложении логи утилиты AVZ

[Info_bot]

Уважаемый(ая) AlexGrub, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\usre\AppData\Local\Temp\~dmp345955786953278558.tmp.exe','');
 DeleteFile('C:\Users\usre\AppData\Local\Temp\~dmp345955786953278558.tmp.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\yjnoot','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[AlexGrub]

Сделал сканирование MBAB
Вот лог

Код:

Malwarebytes Anti-Malware (Пробная версия) 1.75.0.1300
www.malwarebytes.org

Версия базы данных:  v2014.03.13.10

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
usre :: KASHIN [администратор]

Защитный модуль : Включен 

14.03.2014 8:55:54
MBAM-log-2014-03-14 (09-43-14).txt

Тип сканирования:  Полное сканирование  (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  341664
Времени прошло:  45 минут , 32 секунд 

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные ключи в реестре:  4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.Optional.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.

Объекты реестра обнаружены:  4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.

Обнаруженные папки:  0
(Вредоносных программ не обнаружено) 

Обнаруженные файлы:  9
C:\Users\usre\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0SJHPSHK\alfa_-_teatr_(zaycev.net)[1].exe (Trojan.Banload) -> Действие не было предпринято.
C:\Users\usre\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\85GUM61S\zimnyaya_rybalka_propilkki_2_0.751_portable_2009[1].exe (PUP.Optional.Zona) -> Действие не было предпринято.
C:\Users\usre\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\85GUM61S\zolotye_hity_diskotek_80x-90h_2_-_zarubezhnyy_2010_mp3_256[1].exe (PUP.Optional.Zona) -> Действие не было предпринято.
C:\Users\usre\AppData\Local\Temp\457325574.exe (PUP.WebAlta) -> Действие не было предпринято.
C:\ProgramData\tuneupd\tuneupdx32.exe (Trojan.Agent.TUH) -> Действие не было предпринято.
D:\KASHIN\Backup Set 2012-06-13 090156\Backup Files 2012-06-25 082042\Backup files 1.zip (PUP.WebAlta) -> Действие не было предпринято.
D:\Документы\Разное\Nod32\Лекарство\NOD32.FIX.V2.1-NSANE[1].EXE (PUP.RiskWareTool.CK) -> Действие не было предпринято.
C:\Users\usre\AppData\Local\Temp\2sysconf.exe (Exploit.Drop.GS) -> Действие не было предпринято.
C:\Users\usre\AppData\Local\Temp\457325574.exe (Trojan.FakeAlert.Gen) -> Действие не было предпринято.

(конец)

[AlexGrub]

Отправил карантин

[thyrex]

Удалите в МВАМ все, кроме

Код:

C:\Users\usre\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0SJHPSHK\alfa_-_teatr_(zaycev.net)[1].exe (Trojan.Banload) -> Действие не было предпринято.
C:\Users\usre\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\85GUM61S\zimnyaya_rybalka_propilkki_2_0.751_portable_2009[1].exe (PUP.Optional.Zona) -> Действие не было предпринято.
C:\Users\usre\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\85GUM61S\zolotye_hity_diskotek_80x-90h_2_-_zarubezhnyy_2010_mp3_256[1].exe (PUP.Optional.Zona) -> Действие не было предпринято.
D:\Документы\Разное\Nod32\Лекарство\NOD32.FIX.V2.1-NSANE[1].EXE (PUP.RiskWareTool.CK) -> Действие не было предпринято.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 11
• В ходе лечения вредоносные программы в карантинах не обнаружены