0 / 0 / 0
Регистрация: 16.12.2014
Сообщений: 8
1

Вирус "Эбола" зашифровал и переименовал файлы

16.12.2014, 13:18. Показов 743. Ответов 12
Метки нет (Все метки)

Не могу открыть файлы, так как они были зашифрованы и переименованы. Проверил систему "DrWebCureit",что-то нашел и вылечил, но файлы все также зашифрованы...
Логи прилагаю.
Вложения
Тип файла: zip CollectionLog-2014.12.16-14.06.zip (73.1 Кб, 4 просмотров)
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
16.12.2014, 13:18
Ответы с готовыми решениями:

Вирус "Эбола" переименовал и зашифровал все файлы
Добрый день! На днях, пользователь открыл файл, присланный по почте, как-то запустил его,...

Вирус "Эбола" зашифровал и переименовал файлы
Вирус Эбола зашифровал файлы. К зашифрованным файлам добавлено расширение...

Вирус Эбола переименовал и зашифровал файлы
Вирус Эбола зашифровал файлы. К зашифрованным файлам добавлено расширение...

Вирус Эбола переименовал и зашифровал все файлы
28 августа пришло письмо: Тема: Федеральная налоговая инспекция От кого: "Уведомление"...

12
Вирусоборец
16803 / 13731 / 2493
Регистрация: 08.10.2012
Сообщений: 55,674
16.12.2014, 13:29 2
Здравствуйте!

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\Влада\AppData\Local\Temp\gngHLUyORMitZv.exe', '');
     QuarantineFile('C:\Users\Влада_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ebola.bmp','');
     DeleteFile('C:\Users\Влада_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ebola.bmp','32');
     DeleteFile('C:\Users\Влада\AppData\Local\Temp\gngHLUyORMitZv.exe', '32');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  3. Файл CheckBrowserLnk.log
    из папки
    ...\AutoLogger\CheckBrowserLnk
    перетащите на утилиту ClearLNK.



    Отчёт о работе прикрепите к вашему следующему сообщению.
  4. Подготовьте лог сканирования AdwCleaner.
0
0 / 0 / 0
Регистрация: 16.12.2014
Сообщений: 8
16.12.2014, 14:02  [ТС] 3
Отчет
Вложения
Тип файла: rar Check_Browsers_LNK.rar (2.8 Кб, 2 просмотров)
0
0 / 0 / 0
Регистрация: 16.12.2014
Сообщений: 8
16.12.2014, 14:05  [ТС] 4
Еще
Вложения
Тип файла: rar AdwCleaner[R0].rar (371 байт, 3 просмотров)
0
Вирусоборец
16803 / 13731 / 2493
Регистрация: 08.10.2012
Сообщений: 55,674
16.12.2014, 14:09 5
п. 3 у Вас должен был получиться файл ClearLNK-<Дата>.log

п. 4 - кусок лога, вернее, только его шапка. Программа отработала или Вы прервали?
0
0 / 0 / 0
Регистрация: 16.12.2014
Сообщений: 8
16.12.2014, 14:18  [ТС] 6
Исправил
Вложения
Тип файла: rar AdwCleaner[R2].rar (949 байт, 2 просмотров)
Тип файла: rar ClearLNK-16.12.2014_15-16.rar (2.1 Кб, 2 просмотров)
0
Вирусоборец
16803 / 13731 / 2493
Регистрация: 08.10.2012
Сообщений: 55,674
16.12.2014, 14:21 7
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
0
0 / 0 / 0
Регистрация: 16.12.2014
Сообщений: 8
16.12.2014, 14:29  [ТС] 8
Отчет
Вложения
Тип файла: rar AdwCleaner[S1].rar (940 байт, 2 просмотров)
0
Вирусоборец
16803 / 13731 / 2493
Регистрация: 08.10.2012
Сообщений: 55,674
16.12.2014, 14:39 9
Еще это:
Цитата Сообщение от Sandor Посмотреть сообщение
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger
0
0 / 0 / 0
Регистрация: 16.12.2014
Сообщений: 8
16.12.2014, 14:42  [ТС] 10
В процессе
0
0 / 0 / 0
Регистрация: 16.12.2014
Сообщений: 8
16.12.2014, 15:21  [ТС] 11
Готово
Вложения
Тип файла: zip CollectionLog-2014.12.16-16.20.zip (50.3 Кб, 3 просмотров)
0
Вирусоборец
16803 / 13731 / 2493
Регистрация: 08.10.2012
Сообщений: 55,674
16.12.2014, 15:33 12
Ярлыки
C:\Users\Влада_2\Desktop\VK\Google Chrome.lnk
C:\Users\Влада_2\Desktop\VK\Opera.lnk
исправьте с помощью утилиты ClearLNK.
Отчет прикрепите к следующему сообщению.

Файлы:
C:\Users\Влада_2\AppData\Local\Google\Chrome\Application\chr ome.url
C:\Users\Влада_2\AppData\Local\Opera\Opera\temporary_downloa ds.url
C:\Users\Влада_2\AppData\Local\Programs\Opera\opera.url
C:\Users\Влада_2\AppData\Local\Xpom\Application\chrome.url
C:\Users\Влада_2\AppData\Local\Xpom\Application\run_chrome.u rl
удалите.

В остальном - порядок.

По расшифровке, у DrWeb есть решение, но они помогают только обладателям их коммерческой лицензии.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после удаления вредоносного ПО
0
0 / 0 / 0
Регистрация: 16.12.2014
Сообщений: 8
16.12.2014, 17:44  [ТС] 13
Спасибо,что уделили время!
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
16.12.2014, 17:44

Вирус зашифровал и переименовал файлы в расширение .jfwcqnj
Вирус зашифровал и переименовал файлы в расширение .jfwcqnj. Лог сделать не могу по причине, что...

Вирус Эбола зашифровал файлы
29 сентября пришло письмо на электронку, открыл его по ссылке и на тебе счастье. Сети нет,...

вирус эбола .зашифровал файлы

Вирус зашифровал и переименовал все файлы в расширение XHAGAY
пришло письмо: &quot; От кого: Зайцев Андрей &lt;a.zauka@mail.ru&gt; Кому: Дата: Понедельник, 16 февраля...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
13
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.