все файлы формата WORD стали вдруг формата приложение MS-DOC

Red Habi · 13.04.2015, 15:21

подскажите пожалуйста, у меня возникла такая проблема - в один прекрасный день на моем компе вдруг все файлы различного формата (текстовые, рисунки, архивы) стали формата приложение MS-DOC и у всех файлов в названии присутствует вот это - id-2779211594_maxcrypt@foxmail2. Теперь не возможно эти файлы ничем открыть. Существует ли какой-то способ вернуть все обратно. На компе стоит лицензионный антивирус Касперского. Подозревая что это какой-то вирус прогонял комп полностью и Касперским и Dr. Web CureIt, но все осталось по прежнему. Как то в мое отсутствие в комп лазил сынишка 2 летний, может он куда-нибудь понажимал)

safety · 13.04.2015, 15:38

к сожалению,
в этот прекрасный день,
вы стали жертвой, или несчастливым обладателем шифратора maxrypt (вариант Encoder.741)

добавьте образ автозапуска для проверки и очистки системы
http://pchelpforum.ru/showpost.php?p=293738&postcount=2

по восстановлению и расшифровке документов будет чуть ниже. после проверки системы.

Red Habi · 14.04.2015, 15:27

все сделал как было указано, образ автозапуска сохранен в архив 7z
http://rghost.ru/85PNqshmP

safety · 14.04.2015, 17:14

по очистке системы:
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\PROGRAM FILES\MOBOGENIE\UPDATEMOBOGENIE.EXE
addsgn 1AB3729A5583FF8FF42B627DA804DEC9E90A05B6FAEF9F81A5B0C3B3F514A2ACE09C1364FED57C56F86247AC86259B39B188BE2166253B680963AFEFBA1265F8 8 demon_process

del %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\BROWSERMANAGER.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\CHROME.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\CHROME.BAT
del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT
del %SystemDrive%\PROGRAM FILES\CREATIVE\CONSOLCU.BAT
delall D:\ЗАГРУЗКИ ИНТЕРНЕТА\DOOM_2_08XDP.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\WINNERDM\DUMPER.EXE
hide %Sys32%\ACTUALEARTH.SCR

sreg

delref %Sys32%\DRIVERS\BD0001.SYS
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2
del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\RUN_CHROME.BAT
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\WINNERDM
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\APPLICATION DATA\VOPACKAGE
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\VOPACKAGE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS}
del %Sys32%\DRIVERS\BD0001.SYS

REGT 27
regt 28
regt 29
; desktopy.ru
exec C:\Documents and Settings\User\Application Data\desktopy.ru\uninstall.exe
; Movies Toolbar for Chrome (Dist. by Koyote-Lab, Inc.)
exec C:\Program Files\koyotesoftmoviestoolbarha\GC\uninstall.exe /UN=CR /PID=^AGA
; Movies Toolbar for Internet Explorer (Dist. by Koyote-Lab, Inc.)
exec C:\Program Files\koyotesoftmoviestoolbarha\IE\uninstall.exe /UN=IE /PID=^AGA
; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; Remote Desktop Access (VuuPC)
exec C:\Documents and Settings\User\Application Data\VOPackage\uninstall.exe
deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.

по восстановлению документов: если есть архивные копии, значит сможете восстановить

по расшифровке документов - решения нет на сегодня и завтра.
----------
+
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

Red Habi · 15.04.2015, 01:22

все сделал как по инструкции, но к сожалению изменений никаких, все осталось по-прежнему. А откуда эта "зараза" шифратор появился? получается антивирус против него бесполезен?

safety · 15.04.2015, 07:21

1. это скрипт очистки системы,
не расшифровки документов.
-----------------
2.
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
3. проанализируйте "тот прекрасный день", с какого сайта мог прилететь шифратор. (неизвестно, известно что через сайты, или зараженный контент сайтов)

4. помимо установки антивируса необходимо еще и правила безопасной работы в сети соблюдать.

Red Habi · 15.04.2015, 10:23

быстрое сканирование (угроз) в Malwarebytes сделал, нашел более 1700 различных угроз - их удалил в карантин. А каким образом, т.е. через какую программу можно просмотреть и проанализировать тот злополучный день. да-а попал я в ситуацию, жена убьет походу меня, там всяких фото и документов куча была.

safety · 15.04.2015, 10:33

логи в мбам покажите, что он там криминального еще нашел. нам тоже полезно это знать.

по расшифровке, увы, ничем помочь не можем.

документы зашифрованные можно сохранить на отдельный носитель.
может быть через время будет найдено решение по расшифровке.

13.04.2015, 15:21	#1 (ссылка)
Red Habi Новичок Регистрация: 13.04.2015 Сообщений: 4 Репутация: 0	все файлы формата WORD стали вдруг формата приложение MS-DOC подскажите пожалуйста, у меня возникла такая проблема - в один прекрасный день на моем компе вдруг все файлы различного формата (текстовые, рисунки, архивы) стали формата приложение MS-DOC и у всех файлов в названии присутствует вот это - id-2779211594_maxcrypt@foxmail2. Теперь не возможно эти файлы ничем открыть. Существует ли какой-то способ вернуть все обратно. На компе стоит лицензионный антивирус Касперского. Подозревая что это какой-то вирус прогонял комп полностью и Касперским и Dr. Web CureIt, но все осталось по прежнему. Как то в мое отсутствие в комп лазил сынишка 2 летний, может он куда-нибудь понажимал)

14.04.2015, 15:27	#3 (ссылка)
Red Habi Новичок Регистрация: 13.04.2015 Сообщений: 4 Репутация: 0	все сделал как было указано, образ автозапуска сохранен в архив 7z http://rghost.ru/85PNqshmP Последний раз редактировалось Red Habi; 14.04.2015 в 15:40.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
все папки стали нераспознаваемого формата	vini02	Безопасность	14	15.05.2012 17:58
Как перевести текст с формата PDF в WORD.	accert	Программы	8	16.02.2011 13:27
Файлы формата ldb	-=SNAYPER=-	Офис	0	15.05.2010 10:52
Winamp не воспроизводит файлы формата WMA	Zossi	Мультимедиа	13	13.03.2010 09:19
Не открываются файлы формата jpg,gif	zev	Графика	2	02.06.2009 21:46

13.04.2015, 15:38	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	к сожалению, в этот прекрасный день, вы стали жертвой, или несчастливым обладателем шифратора maxrypt (вариант Encoder.741) добавьте образ автозапуска для проверки и очистки системы http://pchelpforum.ru/showpost.php?p=293738&postcount=2 по восстановлению и расшифровке документов будет чуть ниже. после проверки системы.

15.04.2015, 01:22	#5 (ссылка)
Red Habi Новичок Регистрация: 13.04.2015 Сообщений: 4 Репутация: 0	все сделал как по инструкции, но к сожалению изменений никаких, все осталось по-прежнему. А откуда эта "зараза" шифратор появился? получается антивирус против него бесполезен?

15.04.2015, 07:21	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	1. это скрипт очистки системы, не расшифровки документов. ----------------- 2. далее, выполните быстрое сканирование (угроз) в Malwarebytes 3. проанализируйте "тот прекрасный день", с какого сайта мог прилететь шифратор. (неизвестно, известно что через сайты, или зараженный контент сайтов) 4. помимо установки антивируса необходимо еще и правила безопасной работы в сети соблюдать.

15.04.2015, 10:23	#7 (ссылка)
Red Habi Новичок Регистрация: 13.04.2015 Сообщений: 4 Репутация: 0	быстрое сканирование (угроз) в Malwarebytes сделал, нашел более 1700 различных угроз - их удалил в карантин. А каким образом, т.е. через какую программу можно просмотреть и проанализировать тот злополучный день. да-а попал я в ситуацию, жена убьет походу меня, там всяких фото и документов куча была.

15.04.2015, 10:33	#8 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	логи в мбам покажите, что он там криминального еще нашел. нам тоже полезно это знать. по расшифровке, увы, ничем помочь не можем. документы зашифрованные можно сохранить на отдельный носитель. может быть через время будет найдено решение по расшифровке.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads