Требуется лечение

[deadmen]

Добрый день!
Попал к Вам ввиду наличия проблемы, аналогичной уже описаной на форуме.
Большинство файлов после стандартного расширения получило дописку .vscrypt. Соответственно, все эти файлы не читаются.

Трояна загрузил (скорее всего) с сайта mail.ru согласившись на обновление install_flash_player_10_active_x.exe в 8.30 утра.

Заранее благодарен.

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\sdra64.exe,

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[deadmen]

Провел вышеописанные процедуры. Есть одно но. Очистить темп-папки.
Прошел по ссылке под словом "очистить" и выполнил указанные там инструкции. Как искать и чистить темп-папки, я не знаю.
вложения прилагаются.

[Rene-gad]

Прошел по ссылке под словом "очистить" и выполнил указанные там инструкции. Как искать и чистить темп-папки, я не знаю.

Искать их не надо - они системные и скрытые от пользователя. Указанные в статье методы позволяют удалить их содержимое, не обращаясь к ним непосредственно через проводник.
Закачайте файл ..\avz\log\virusinfo_cure.zip тут: http://virusinfo.info/upload_virus.php?tid=47536

[deadmen]

Закачал. Жду дальнейших указаний.

[Rene-gad]

Файл D:\никита\кач\sms.exe - откуда он у Вас? Репутация у него сомнительная: http://www.virustotal.com/analisis/3...244-1244717420

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

[deadmen]

Т.е. нужно снести указанный файл и закачать сервис пак с сайта майкрософта? А с убитыми файлами что делать?
Вновь создаваемые файлы Word - рождаются мертвыми. Другие программы я не пробовал.

[Rene-gad]

Т.е. нужно снести указанный файл

Это решайте уж сами, плиз.

закачать сервис пак с сайта майкрософта

и установить его

А с убитыми файлами что делать?

Трудно сказать. Пусть пока лежат. Может лекарство кто-нить сделает.

Вновь создаваемые файлы Word - рождаются мертвыми.

М.б. вирус и не убит вовсе, а просто не виден.
В любом случае выполните проверку на файловые вирусы: http://virusinfo.info/showthread.php?t=15927

[deadmen]

Как отследить что "кто-нить" сделал таблетку? Мне сообщат или где-то надо смотреть обновления?

[Rene-gad]

Мне сообщат...?

Не думаю... Сделайте СЕЙЧАС проверку последним КуреИтом по инструкции.

[deadmen]

есть подозрение что надо переустанавливать офис

[Rene-gad]

надо переустанавливать офис

Так в чем проблема?

[deadmen]

На рабочем столе, правой кнопкой - создать документ Word
Файл при открытии закодирован. Удаляешь всю лабуду из нутри, сохраняешь на диск в какую-нибудь папку и работаешь нормально.

Если сохранить на рабочем столе, то перекодирует при повторном открытии, но например в японский или корейский. Ставишь кирилицу и все ок.

[deadmen]

Никто, ничего не придумал еще?

[Rene-gad]

Никто, ничего не придумал еще?

Оффис переустановили?

[deadmen]

Оффис переустановили?

неа... Пока не дергаюсь. Может хто разберется. Дело кажись не в офисе.

Перекодировки происходят при использовании правая клавиша мыши= создать (файл ехеl/ворд или папку). перекодируется часть файлов. Если открывать программу (ехеl/ворд) в ней создать новый документ, а потом сохранить как, то все пашет в штатном режиме.

Может куда-нить кинуть парные файлы (например металлl.xls.vscrypt и металлl.xls) чтобы разобрались?

Кстати, файлы Jpeg, которые при открытии пишут что просмотр невозможен, при наведении на них курсора показываются в левом нижнем углу проводника и изображение там соответствует.

[Rene-gad]

Значит какой-то вирус еще у Вас гуляет.
Как прислать подозрительные файлы Вы знаете

[deadmen]

а в чем их подозрительность? Это же результат работы вируса.
Сегодня свежый ДохтарВеб в темп-папке нашел Троян.Панда....
Обновить AVZ и HiJackThis прогнать проверку и скинуть отчет к вам ?

[Rene-gad]

Обновить AVZ и HiJackThis прогнать проверку и скинуть отчет к вам ?

Логи не нужны, т.к. файловые вирусы в них все равно не видны. Какой у Вас штатный АВ? Вендору пошлите зараженный файл.

[deadmen]

... Какой у Вас штатный АВ? Вендору пошлите зараженный файл.

АВ-анти вирус? никакого нет. Кто такой Вендор и как ему послать?