13.04.2015, 15:21 | #1 (ссылка) |
Новичок
Регистрация: 13.04.2015
Сообщений: 4
Репутация: 0
|
все файлы формата WORD стали вдруг формата приложение MS-DOC
подскажите пожалуйста, у меня возникла такая проблема - в один прекрасный день на моем компе вдруг все файлы различного формата (текстовые, рисунки, архивы) стали формата приложение MS-DOC и у всех файлов в названии присутствует вот это - id-2779211594_maxcrypt@foxmail2. Теперь не возможно эти файлы ничем открыть. Существует ли какой-то способ вернуть все обратно. На компе стоит лицензионный антивирус Касперского. Подозревая что это какой-то вирус прогонял комп полностью и Касперским и Dr. Web CureIt, но все осталось по прежнему. Как то в мое отсутствие в комп лазил сынишка 2 летний, может он куда-нибудь понажимал)
|
13.04.2015, 15:38 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
к сожалению,
в этот прекрасный день, вы стали жертвой, или несчастливым обладателем шифратора maxrypt (вариант Encoder.741) добавьте образ автозапуска для проверки и очистки системы http://pchelpforum.ru/showpost.php?p=293738&postcount=2 по восстановлению и расшифровке документов будет чуть ниже. после проверки системы. |
14.04.2015, 15:27 | #3 (ссылка) |
Новичок
Регистрация: 13.04.2015
Сообщений: 4
Репутация: 0
|
все сделал как было указано, образ автозапуска сохранен в архив 7z
http://rghost.ru/85PNqshmP Последний раз редактировалось Red Habi; 14.04.2015 в 15:40. |
14.04.2015, 17:14 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
по очистке системы:
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.17 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian zoo %SystemDrive%\PROGRAM FILES\MOBOGENIE\UPDATEMOBOGENIE.EXE addsgn 1AB3729A5583FF8FF42B627DA804DEC9E90A05B6FAEF9F81A5B0C3B3F514A2ACE09C1364FED57C56F86247AC86259B39B188BE2166253B680963AFEFBA1265F8 8 demon_process del %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\BROWSERMANAGER.BAT del %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\CHROME.BAT del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\CHROME.BAT del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT del %SystemDrive%\PROGRAM FILES\CREATIVE\CONSOLCU.BAT delall D:\ЗАГРУЗКИ ИНТЕРНЕТА\DOOM_2_08XDP.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\WINNERDM\DUMPER.EXE hide %Sys32%\ACTUALEARTH.SCR sreg delref %Sys32%\DRIVERS\BD0001.SYS deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2 del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\RUN_CHROME.BAT deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\LOCAL SETTINGS\APPLICATION DATA\WINNERDM deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\РУСТИК\APPLICATION DATA\VOPACKAGE deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\VOPACKAGE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS} del %Sys32%\DRIVERS\BD0001.SYS REGT 27 regt 28 regt 29 ; desktopy.ru exec C:\Documents and Settings\User\Application Data\desktopy.ru\uninstall.exe ; Movies Toolbar for Chrome (Dist. by Koyote-Lab, Inc.) exec C:\Program Files\koyotesoftmoviestoolbarha\GC\uninstall.exe /UN=CR /PID=^AGA ; Movies Toolbar for Internet Explorer (Dist. by Koyote-Lab, Inc.) exec C:\Program Files\koyotesoftmoviestoolbarha\IE\uninstall.exe /UN=IE /PID=^AGA ; Mobogenie exec C:\Program Files\Mobogenie\uninst.exe ; Remote Desktop Access (VuuPC) exec C:\Documents and Settings\User\Application Data\VOPackage\uninstall.exe deltmp delnfr areg ;------------------------------------------------------------- по восстановлению документов: если есть архивные копии, значит сможете восстановить по расшифровке документов - решения нет на сегодня и завтра. ---------- + далее, выполните быстрое сканирование (угроз) в Malwarebytes |
15.04.2015, 07:21 | #6 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
1. это скрипт очистки системы,
не расшифровки документов. ----------------- 2. далее, выполните быстрое сканирование (угроз) в Malwarebytes 3. проанализируйте "тот прекрасный день", с какого сайта мог прилететь шифратор. (неизвестно, известно что через сайты, или зараженный контент сайтов) 4. помимо установки антивируса необходимо еще и правила безопасной работы в сети соблюдать. |
15.04.2015, 10:23 | #7 (ссылка) |
Новичок
Регистрация: 13.04.2015
Сообщений: 4
Репутация: 0
|
быстрое сканирование (угроз) в Malwarebytes сделал, нашел более 1700 различных угроз - их удалил в карантин. А каким образом, т.е. через какую программу можно просмотреть и проанализировать тот злополучный день. да-а попал я в ситуацию, жена убьет походу меня, там всяких фото и документов куча была.
|
15.04.2015, 10:33 | #8 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
логи в мбам покажите, что он там криминального еще нашел. нам тоже полезно это знать.
по расшифровке, увы, ничем помочь не можем. документы зашифрованные можно сохранить на отдельный носитель. может быть через время будет найдено решение по расшифровке. |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
все папки стали нераспознаваемого формата | vini02 | Безопасность | 14 | 15.05.2012 17:58 |
Как перевести текст с формата PDF в WORD. | accert | Программы | 8 | 16.02.2011 13:27 |
Файлы формата ldb | -=SNAYPER=- | Офис | 0 | 15.05.2010 10:52 |
Winamp не воспроизводит файлы формата WMA | Zossi | Мультимедиа | 13 | 13.03.2010 09:19 |
Не открываются файлы формата jpg,gif | zev | Графика | 2 | 02.06.2009 21:46 |