10.12.2015, 12:55 | #1 (ссылка) |
Новичок
Регистрация: 05.11.2010
Сообщений: 886
Репутация: 2
|
Очень серьезный вирус, который все файлы исказил
Привет всем.
У нашего руководителя на рабочем компе, где находится вся документальная база накопленная годами исказилась. Каждый вордовский файл искажен в имении в типе файлов. На рабочем столе появились куча ярлыков с именем README3,4,5,6... Также появился банер, скриншот которого я Вам тоже скину. Для нас очень важны документы которые исказились, мы их годами разрабатывали. Помогите нам пожалуйста!! Я выкладываю вам лог УВС и скриншоты: лог- http://rghost.ru/8s8WCfsJ9 банер: скрин с ярлыками: во что превратились вордовские файлы: |
10.12.2015, 13:21 | #5 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE addsgn 9252774A066AC1CC0B94424EA34F9A99058A49D31E8248F1604E5998D0278DB312D7936EE220660F6DD3ECBA5B3749ADFE1CEC213DCBDC212D2127ECC35572B4 13 Win32/Filecoder.ED [ESET-NOD32] addsgn 1A7C099A5583348CF42B627DA804DEC9E946303A4536D3B40E8FE1B8A717724C2317B773B4541E882A0444EB08E188F97DDFE807BADFB02C2D77298BE3062273 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE deldirex %SystemDrive%\USERS\НАЗИМ\APPDATA\LOCAL\EXTION ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\НАЗИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС ; BrowseMark exec C:\Program Files\BrowseMark\BrowseMarkuninstall.exe ; VuuPC, You're Always a Click Away! exec C:\Program Files\VuuPC\uninstall.exe ; Zaxar Games Browser 4 exec C:\Program Files\Zaxar\unins000.exe deltmp delnfr ;------------------------------------------------------------- czoo restart архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com ---------- далее, выполните сканирование (угроз) в Malwarebytes |
10.12.2015, 13:35 | #6 (ссылка) | |
Новичок
Регистрация: 05.11.2010
Сообщений: 886
Репутация: 2
|
Цитата:
Нам главное что бы файлы не пропали и функционировали. Помогите если это возможно. |
|
10.12.2015, 13:43 | #7 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
мустафа,
вы видимо еще не сталкивались с шифраторами, потому еще и пребываете в неведении. скрипт выполнит только очистку системы от вредоносных программ. для расшифровки документов необходима будет специализированная программа. которую вам могут предоставить либо в техподдержке вашего антивируса, (если у них есть расшифровка для данного шифратора) либо выкупать у мошенников или посредников мошенников, но уже за деньги. ------- сразу скажу, что breaking_bad расшифровать проблематично, возможно что-то есть в ЛК |
10.12.2015, 14:16 | #8 (ссылка) | |
Новичок
Регистрация: 05.11.2010
Сообщений: 886
Репутация: 2
|
Цитата:
Хозяин компьютера пользовался Касперским 2012 года и последний год не приобретал лицензии, а делал сброс ключа с КРТ. В данный момент антивирус отключен. После скрипта можно включить антивирус? а то вдруг он потом начнет удалять все неугодные ему файлы которые теперь зашифрованы. Вы не могли бы подсказать подробнее или помочь расшифровать файлы. Мы работаем в МЧС и все зашифрованные документы касаются именно планирования безопасности населения и тд. |
|
Ads | |
10.12.2015, 14:36 | #9 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
вот счастливый человек, ничего еще не слышал про шифраторы.
надо это исправить шифровирусы шумной толпою http://chklst.ru/forum/discussion/14...umnoy-tolpoyu- по расшифровке документов обращайтесь в техподдержку вирлабов, или в МЧС, может они тоже занимаются расшифровкой |
10.12.2015, 14:53 | #10 (ссылка) | |
Новичок
Регистрация: 05.11.2010
Сообщений: 886
Репутация: 2
|
Цитата:
А в какие обратиться техподержки: касперского (он установлен), др.веб, Нод32 ? |
|
10.12.2015, 14:56 | #11 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
попробуйте в Гугле поискать, там все есть. обязательно вам надо все на ложечке ко рту поднести.
надо просто набрать в поиске. официальный сайт Drweb официальный сайт Kaspersky официальный сайт ESET Russia |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
вирус который запускает браузер | Leya | Безопасность | 1 | 12.02.2015 01:40 |
Очень агрессивный рекламный вирус, который вылезает отовсюду | Lamaro | Безопасность | 15 | 29.09.2014 19:00 |
подхватил какой-то вирус который блокирует интернет помогите плиз, очень срочно плизз | Verling | Безопасность | 5 | 29.06.2012 19:25 |
Вирус (реклама) который утверждает что он не вирус и подавляет все действия | Vado | Безопасность | 3 | 13.06.2010 16:40 |
КУЛЕР, который стоит на всю систему очень шумит! | WALKMAN007115 | Неисправности, настройка | 12 | 27.08.2009 21:29 |