Вирус заархивировал файлы в формат .rAr и .read

[r0m4ik]

Ситуация такая...с почты открыл файл (он был документом, но выглядел как значек скрипта, с чего я и решил что текстовым редактором откроет), после чего на рабочем столе все сбилось, но сразу подвоха не заметил. После обнаружил кучу лишних архивированных файлов. Начал их открывать, они открываются, но когда доходишь до вложенного в него файла, не важно doc xls pdf и т.д. у них у всех в конце названия звездочка (*) есть, когда пытаюсь их открыть появляется окошко "ввод пароля" , там написано "введите пароль для зашифрованного файла User\a...\имя файла.docx" на следующей строчке "архиве имя файла.docx.rAr". Это в случае с doc файлом, а с другими также соответственно.
Что качается не заархивированных зараженных файлов (они переделаны в формат read, то есть .doc.read, но это видно когда смотришь в свойствах файла, а отображаются они как с обычным расширением), то когда их открываешь, например тот же docx, появляется окошко, как когда проблемы с кириллицей, а там сообщение "-----BEGIN PGP MESSAGE-----
Version: 2.6.3i

hIwDhcZgxQxzJm0BBACoyGpXU/WSJjhZWkYETraVIK2yLKCCDicnC4GGbE8QRS7U
WkKCCO8s5C3CFvUhvGd+h1dXNMJU812c/Qsvl1VIPMxKosUwwldQ3+nz/jRKWZ5U
T+Pw2+qyve3sMUkXZIoJeA37aDi0mTVXmEIpI0QctTO0XEzE8L GaV7IqVqxug6YA
AAA9ukkgxul+tOZ1fMxyD4jNt975KmrRt44IBVwwp6dXQHlwXy PI0wFAHhCUw9eG
CevUgDUyCaM5snplaArCSA==
=5Rle
-----END PGP MESSAGE-----
Инф-ия блокирована. Стоимость возвращения в исходное состояние десять тысяч p
Для возвращения инф-ии в исходный вид пришлите на эл. почту 2 файла:
Первый файл - который сейчас читаете; второй - один файл с расширением rAr небольшого размера
Обратно придет оригинальный файл и способ оплаты
После завершения расчетов придет программа для восстановления данных и пароль на все файлы
[email protected]
".
Тоже самое и с остальными файлами, некоторое например картинки и pdf не открываются а просто выдают ошибку с неверным форматом.
К сожалению, я как не знающий об этой всей штуке, я почистил комп программой microsoft security essentials и удалил вирус , даже не обратив внимание на его название.
Кстати также вирус успел залезть на внешний жеский диски и даже в яндекс диск, в общем обработал все рабочие документы.

[Info_bot]

Уважаемый(ая) r0m4ik, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=620b94922012a610dfe1f3acd95f8adb&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=620b94922012a610dfe1f3acd95f8adb&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=620b94922012a610dfe1f3acd95f8adb&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=620b94922012a610dfe1f3acd95f8adb&text=
O2 - BHO: Search App by Ask BHO - {4F524A2D-5350-4500-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll" (file missing)
O2 - BHO: Shopping App by Ask BHO - {4F524A2D-5354-2D53-5045-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll" (file missing)
O2 - BHO: Round World 1.0.0.7 - {78549bde-b964-4d2a-b7b1-c4ac15ddff64} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Search App by Ask - {4F524A2D-5350-4500-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll" (file missing)
O3 - Toolbar: Shopping App by Ask - {4F524A2D-5354-2D53-5045-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll" (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=620b94922012a610dfe1f3acd95f8adb&text=

Сделайте логи RSIT

[r0m4ik]

[QUOTE=thyrex;1266579]Пофиксите в HiJack

Прошу прощения, Вы имеете ввиду удалить данные строки в этом файле?! Если да, то что мне это даст?

[thyrex]

http://virusinfo.info/showthread.php?t=4491

[r0m4ik]

1) Пофиксил
2)Сделал логи RSIT

- - - - -Добавлено - - - - -

Кстати вот, что вчера нашёл ещё.

- - - - -Добавлено - - - - -

Может быть вот это Вам о чем-то скажет...

[thyrex]

Удалите вручную

C:\qtemp
C:\Users\a.ilin\AppData\Roaming\AnyProtectEx
C:\Program Files (x86)\AnySend
C:\Users\a.ilin\AppData\Roaming\Torrent Search
C:\Users\a.ilin\AppData\Roaming\Media Saver
C:\iехplоrе.bаt.exe
C:\Users\a.ilin\AppData\Roaming\YаndехDiskSсrееnsh оtЕditоr.bаt.exe
C:\Users\a.ilin\AppData\Roaming\YаndехDiskStаrtеr. bаt.exe
C:\Users\a.ilin\AppData\Roaming\YandexDiskStarter. bat
C:\lаunсhеr.bаt.exe
C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys

[r0m4ik]

C:\Users\a.ilin\AppData\Roaming\AnyProtectEx
C:\iехplоrе.bаt.exe
C:\launcher.bat.exe
Не нашёл.
C:\Users\a.ilin\AppData\Roaming\YаndехDiskSсrееnsh оtЕditоr.bаt.exe
C:\Users\a.ilin\AppData\Roaming\YаndехDiskStаrtеr. bаt.exe
C:\Users\a.ilin\AppData\Roaming\YandexDiskStarter. bat
Эти файлы были без .bat, но все равно удалил.

[r0m4ik]

Может стоит кинуть какой-нибудь из файлов, чтобы Вам было понятнее? Они уже без вирусов, просто залочены.

[thyrex]

С расшифровкой (разархивированием) не поможем