Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 13.04.2015, 15:21   #1 (ссылка)
Новичок
 
Регистрация: 13.04.2015
Сообщений: 4
Репутация: 0
По умолчанию все файлы формата WORD стали вдруг формата приложение MS-DOC

подскажите пожалуйста, у меня возникла такая проблема - в один прекрасный день на моем компе вдруг все файлы различного формата (текстовые, рисунки, архивы) стали формата приложение MS-DOC и у всех файлов в названии присутствует вот это - id-2779211594_maxcrypt@foxmail2. Теперь не возможно эти файлы ничем открыть. Существует ли какой-то способ вернуть все обратно. На компе стоит лицензионный антивирус Касперского. Подозревая что это какой-то вирус прогонял комп полностью и Касперским и Dr. Web CureIt, но все осталось по прежнему. Как то в мое отсутствие в комп лазил сынишка 2 летний, может он куда-нибудь понажимал)
Red Habi вне форума  
Старый 13.04.2015, 15:38   #2 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

к сожалению,
в этот прекрасный день,
вы стали жертвой, или несчастливым обладателем шифратора maxrypt (вариант Encoder.741)

добавьте образ автозапуска для проверки и очистки системы
http://pchelpforum.ru/showpost.php?p=293738&postcount=2

по восстановлению и расшифровке документов будет чуть ниже. после проверки системы.
safety вне форума  
Старый 14.04.2015, 15:27   #3 (ссылка)
Новичок
 
Регистрация: 13.04.2015
Сообщений: 4
Репутация: 0
По умолчанию

все сделал как было указано, образ автозапуска сохранен в архив 7z
http://rghost.ru/85PNqshmP

Последний раз редактировалось Red Habi; 14.04.2015 в 15:40.
Red Habi вне форума  
Старый 14.04.2015, 17:14   #4 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

по очистке системы:
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\PROGRAM FILES\MOBOGENIE\UPDATEMOBOGENIE.EXE
addsgn 1AB3729A5583FF8FF42B627DA804DEC9E90A05B6FAEF9F81A5B0C3B3F514A2ACE09C1364FED57C56F86247AC86259B39B188BE2166253B680963AFEFBA1265F8 8 demon_process

del %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\BROWSERMANAGER.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\CHROME.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\CHROME.BAT
del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT
del %SystemDrive%\PROGRAM FILES\CREATIVE\CONSOLCU.BAT
delall D:\ЗАГРУЗКИ ИНТЕРНЕТА\DOOM_2_08XDP.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\WINNERDM\DUMPER.EXE
hide %Sys32%\ACTUALEARTH.SCR

sreg

delref %Sys32%\DRIVERS\BD0001.SYS
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2
del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\RUN_CHROME.BAT
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\WINNERDM
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\APPLICATION DATA\VOPACKAGE
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\VOPACKAGE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS}
del %Sys32%\DRIVERS\BD0001.SYS

REGT 27
regt 28
regt 29
; desktopy.ru
exec C:\Documents and Settings\User\Application Data\desktopy.ru\uninstall.exe
; Movies Toolbar for Chrome (Dist. by Koyote-Lab, Inc.)
exec C:\Program Files\koyotesoftmoviestoolbarha\GC\uninstall.exe /UN=CR /PID=^AGA
; Movies Toolbar for Internet Explorer (Dist. by Koyote-Lab, Inc.)
exec C:\Program Files\koyotesoftmoviestoolbarha\IE\uninstall.exe /UN=IE /PID=^AGA
; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; Remote Desktop Access (VuuPC)
exec C:\Documents and Settings\User\Application Data\VOPackage\uninstall.exe
deltmp
delnfr
areg

;-------------------------------------------------------------
перезагрузка, пишем о старых и новых проблемах.

по восстановлению документов: если есть архивные копии, значит сможете восстановить

по расшифровке документов - решения нет на сегодня и завтра.
----------
+
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 15.04.2015, 01:22   #5 (ссылка)
Новичок
 
Регистрация: 13.04.2015
Сообщений: 4
Репутация: 0
По умолчанию

все сделал как по инструкции, но к сожалению изменений никаких, все осталось по-прежнему. А откуда эта "зараза" шифратор появился? получается антивирус против него бесполезен?
Red Habi вне форума  
Старый 15.04.2015, 07:21   #6 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

1. это скрипт очистки системы,
не расшифровки документов.
-----------------
2.
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
3. проанализируйте "тот прекрасный день", с какого сайта мог прилететь шифратор. (неизвестно, известно что через сайты, или зараженный контент сайтов)

4. помимо установки антивируса необходимо еще и правила безопасной работы в сети соблюдать.
safety вне форума  
Старый 15.04.2015, 10:23   #7 (ссылка)
Новичок
 
Регистрация: 13.04.2015
Сообщений: 4
Репутация: 0
По умолчанию

быстрое сканирование (угроз) в Malwarebytes сделал, нашел более 1700 различных угроз - их удалил в карантин. А каким образом, т.е. через какую программу можно просмотреть и проанализировать тот злополучный день. да-а попал я в ситуацию, жена убьет походу меня, там всяких фото и документов куча была.
Red Habi вне форума  
Старый 15.04.2015, 10:33   #8 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

логи в мбам покажите, что он там криминального еще нашел. нам тоже полезно это знать.

по расшифровке, увы, ничем помочь не можем.

документы зашифрованные можно сохранить на отдельный носитель.
может быть через время будет найдено решение по расшифровке.
safety вне форума  
Ads
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
все папки стали нераспознаваемого формата vini02 Безопасность 14 15.05.2012 17:58
Как перевести текст с формата PDF в WORD. accert Программы 8 16.02.2011 13:27
Файлы формата ldb -=SNAYPER=- Офис 0 15.05.2010 10:52
Winamp не воспроизводит файлы формата WMA Zossi Мультимедиа 13 13.03.2010 09:19
Не открываются файлы формата jpg,gif zev Графика 2 02.06.2009 21:46


Текущее время: 15:22. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.