Вирус изменил расширение и зашифровал содержимое файлов

@Xander2 · Регистрация: 20.01.2015

Author24 — интернет-сервис помощи студентам

Доброго времени суток.
Просим оказать помощь: при открытии архива, переданного по электронной почте, изменилось расширение у файлов *.txt, *.docx, *.xlsx, содержимое файлов - зашифровано. Приложил лог согласно инструкции и пример поврежденного файла.

@Sandor · 20.01.2015, 11:52

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Xander2. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('4F97609C8C244391');
 QuarantineFile('C:\Users\MUKHAM~1\AppData\Local\Temp\17CBCD62.sys', '');
 QuarantineFile('C:\Users\MUKHAM~1\AppData\Local\Temp\csbebrk.exe', '');
 DeleteFile('C:\Windows\system32\Tasks\zgznswm', '64');
 DeleteFile('C:\Users\MUKHAM~1\AppData\Local\Temp\17CBCD62.sys', '32');
 DeleteFile('C:\Users\MUKHAM~1\AppData\Local\Temp\csbebrk.exe', '32');
 DeleteService('4F97609C8C244391');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Через Панель управления - Удаление программ - удалите нежелательное ПО:

AVG Security Toolbar
Подготовьте лог сканирования AdwCleaner.

Сообщение от Xander2

изменилось расширение у файлов

Изменилось на какое?
Процитируйте текст вымогателей.

@Xander2 · 20.01.2015, 12:37 **[ТС]**

Sandor, спасибо за оперативность!

Сообщение от Sandor

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы

Готово.

Сообщение от Sandor

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Удалить AVG Security Toolbar через стандартную панель установки/удаления программ не удается, при удалении ничего не происходит, программа остается в списке.

Сообщение от Sandor

Подготовьте лог сканирования

Архив лога во вложении.

Сообщение от Sandor

Изменилось на какое?

К расширению файлов добавлено ".kezgxdh", т.е. *.xlsx.kezgxdh, *.txt.kezgxdh и т.д.

Сообщение от Sandor

Процитируйте текст вымогателей.

Никакого сообщения нет.

@Sandor · 20.01.2015, 12:49

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@Xander2 · 20.01.2015, 14:02 **[ТС]**

Сообщение от Sandor

Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Рекомендации выполнены, логи во вложении. Интересует возможность восстановления поврежденных файлов, возможно ли это?

@Sandor · 20.01.2015, 14:12

В логах порядок.

Сообщение от Xander2

возможно ли это?

Я пока информации не нашел. Подождите вердикта thyrex

@Xander2 · 20.01.2015, 14:32 **[ТС]**

Благодарю, будем ждать вердикта.

@thyrex · 31.01.2015, 21:34

Без шансов

@Xander2 · 06.02.2015, 12:48 **[ТС]**

Благодарим за прямоту и содействие. Примерно то же ответили и в техподдержке drWeb.

@Sandor · 06.02.2015, 13:00

Ознакомьтесь со статьей.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после удаления вредоносного ПО

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	06.02.2015, 13:00	10
	Ознакомьтесь со статьей. Выполните скрипт в AVZ при наличии доступа в интернет: Код var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	20.01.2015, 11:52	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Xander2. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('4F97609C8C244391'); QuarantineFile('C:\Users\MUKHAM~1\AppData\Local\Temp\17CBCD62.sys', ''); QuarantineFile('C:\Users\MUKHAM~1\AppData\Local\Temp\csbebrk.exe', ''); DeleteFile('C:\Windows\system32\Tasks\zgznswm', '64'); DeleteFile('C:\Users\MUKHAM~1\AppData\Local\Temp\17CBCD62.sys', '32'); DeleteFile('C:\Users\MUKHAM~1\AppData\Local\Temp\csbebrk.exe', '32'); DeleteService('4F97609C8C244391'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Через Панель управления - Удаление программ - удалите нежелательное ПО: AVG Security Toolbar Подготовьте лог сканирования AdwCleaner. Сообщение от Xander2 изменилось расширение у файлов Изменилось на какое? Процитируйте текст вымогателей. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	20.01.2015, 12:49	4
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,086
	20.01.2015, 14:12	6
	В логах порядок. Сообщение от Xander2 возможно ли это? Я пока информации не нашел. Подождите вердикта thyrex 0

@Xander2 0 / 0 / 0 Регистрация: 20.01.2015 Сообщений: 5
	20.01.2015, 14:32 [ТС]	7
	Благодарю, будем ждать вердикта. 0

@thyrex 13105 / 7255 / 1536 Регистрация: 06.09.2009 Сообщений: 26,491
	31.01.2015, 21:34	8
	Без шансов 0

@Xander2 0 / 0 / 0 Регистрация: 20.01.2015 Сообщений: 5
	06.02.2015, 12:48 [ТС]	9
	Благодарим за прямоту и содействие. Примерно то же ответили и в техподдержке drWeb. 0