Зашифровались фотки и файлы офис

@scorer · Регистрация: 31.05.2011

Студворк — интернет-сервис помощи студентам

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.rar

log.rar

Я в компах вообще ничего не понимаю. По хорошему надо бы давно уже вызвать специалиста. А пока вот сижу сама что-то пытаюсь сделать. Не открываются фотки, пишет просмотр недоступен. До этого приходило сообщение в блокнот,что файлы зашифрованы и просили куда-то написать. После установки утилиты др. веб вроде сообщение перестало приходить.

@Sfera · 31.05.2011, 20:13

смотрю

Добавлено через 20 минут
вижу карантин от Combofix, приложите лог

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('eueiybezc41vs9f5', 4);
 QuarantineFile('C:\WINDOWS.0\system32\60.scr','');
 QuarantineFile('C:\WINDOWS.0\system32\41.scr','');
 QuarantineFile('C:\WINDOWS.0\system32\28.scr','');
 QuarantineFile('C:\WINDOWS.0\system32\10.scr','');
 QuarantineFile('C:\WINDOWS\system32\wuauserv.dll','');
 QuarantineFile('C:\WINDOWS.0\system32\zanineje.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\wmsrvc.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\winupd01.exe','');
 DeleteFile('C:\WINDOWS.0\system32\zanineje.exe');
 DeleteFile('C:\WINDOWS.0\system32\10.scr');
 DeleteFile('C:\WINDOWS.0\system32\28.scr');
 DeleteFile('C:\WINDOWS.0\system32\41.scr');
 DeleteFile('C:\WINDOWS.0\system32\60.scr');
DeleteService('eueiybezc41vs9f5');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:

Code
1
O2 - BHO: AlterGeo Magic Scanner - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)

Вы из Лыткарино?
ваш провайдер WELLCOM-L

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
________________________________________ _____________________________________

@thyrex · 31.05.2011, 22:52

Дополнительный вопрос

Сообщение от scorer

Не открываются фотки, пишет просмотр недоступен

Расширение у файлов с фотками поменялось или нет?

@scorer · 31.05.2011, 23:02 **[ТС]**

Да я из Лыткарино. Расширение на фотках не монялось. написано:.jpg Попробую сделать всё то что написали.

@scorer · 01.06.2011, 00:06 **[ТС]**

Не знаю толи я сделала.

@zirreX · 01.06.2011, 01:39

Удалите в MBAM все найденные объекты, кроме указанных ниже:

Code
1
2
3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Также сделайте новые логи AVZ & RSIT.

+

Сообщение от Sfera

вижу карантин от Combofix, приложите лог

Обновите Internet Explorer до восьмой версии, даже если им не пользуетесь.

@thyrex · 01.06.2011, 12:09

А также

Попробуйте http://support.kaspersky.ru/vi... =208638517 и сообщите результат

@Katharsis · 01.06.2011, 13:25

И ещё небольшая подборочка декрипторов:
http://www.freedrweb.com/aid_admin/decode+encoder/
http://download.geo.drweb.com/... unlock.exe
http://download.geo.drweb.com/... lstfix.exe
http://support.kaspersky.ru/do... ryptor.zip

@thyrex · 01.06.2011, 15:43

Katharsis

Здесь шифровальщик Rector. Если версия последняя, то вряд ли расшифруется

@zirreX · 02.06.2011, 11:54

Также проверьтесь этой утилитой.

@scorer · 02.06.2011, 20:06 **[ТС]**

Сообщение от thyrex

А также

Попробуйте http://support.kaspersky.ru/vi... =208638517 и сообщите результат

Написано что расшифрованно: 0

@Sfera · 03.06.2011, 08:40

scorer, логи повторите, пожалуйста

@thyrex · 03.06.2011, 12:30

Сообщение от scorer

Написано что расшифрованно: 0

Увы, но Вы словили шифровальщика по алгоритму RSA. Файлы расшифровать не удастся, т.к. используется длинный ключ шифрования

@scorer · 03.06.2011, 19:14 **[ТС]**

Новые

@scorer · 03.06.2011, 19:53 **[ТС]**

вот ещё

@akok · 03.06.2011, 20:02

Судя по всему вам необходимо думать в сторону бекапов.

Новые блоги и статьи Все статьи Все блоги /
Отправка уведомления на почту при изменении наименования справочника Maks 24.03.2026 Программная отправка письма электронной почты на примере изменения наименования справочника "Склады" в конфигурации БП3. Перед реализацией необходимо выполнить настройку системной учетной записи. . .	модель ЗдравоСохранения 5. Меньше увольнений- больше дохода! anaschu 24.03.2026 Теперь система здравосохранения уменьшает количество увольнений. 9TO2GP2bpX4 a42b81fb172ffc12ca589c7898261ccb/ https:/ / rutube. ru/ video/ a42b81fb172ffc12ca589c7898261ccb/ Слева синяя линия -. . .	Midnight Chicago Blues kumehtar 24.03.2026 Такой Midnight Chicago Blues, знаешь?. . Когда вечерние улицы становятся ночными, а ты не можешь уснуть. Ты идёшь в любимый старый бар, и бармен наливает тебе виски. Ты смотришь на пролетающие. . .	Контроль уникальности заводского номера - вариант №2 Maks 24.03.2026 В отличие от предыдущего варианта добавлено прерывание циклов, также добавлены новые переменные для сохранения контекста ошибки перед прерыванием цикла: Процедура ПередЗаписью(Отказ, РежимЗаписи,. . .
SDL3 для Desktop (MinGW): Вывод текста со шрифтом TTF с помощью библиотеки SDL3_ttf на Си и C++ 8Observer8 24.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-text-sdl3-c. zip finish-text-sdl3-cpp. zip	Жизнь в неопределённости kumehtar 23.03.2026 Жизнь — это постоянное существование в неопределённости. Например, даже если у тебя есть список дел, невозможно дойти до точки, где всё окончательно завершено и больше ничего не осталось. В принципе,. . .	Модель здравоСохранения: работники работают быстрее после её введения. anaschu 23.03.2026 geJalZw1fLo Корпорация до введения программа здравоохранения имела много невыполненных работниками заданий, после введения программы количество заданий выросло. Но на выплатах по больничным это. . .	Контроль уникальности заводского номера - вариант №1 Maks 23.03.2026 Алгоритм контроля уникальности заводского (или серийного) номера на примере документа выдачи шин для спецтехники с табличной частью в конфигурации КА2. Данные берутся из регистра сведений, по. . .

@scorer 0 / 0 / 0 Регистрация: 31.05.2011 Сообщений: 6

	Зашифровались фотки и файлы офис 31.05.2011, 19:48. Показов 4033. Ответов 15 Метки нет (Все метки) virusinfo_syscheck.zip virusinfo_syscure.zip info.rar log.rar Я в компах вообще ничего не понимаю. По хорошему надо бы давно уже вызвать специалиста. А пока вот сижу сама что-то пытаюсь сделать. Не открываются фотки, пишет просмотр недоступен. До этого приходило сообщение в блокнот,что файлы зашифрованы и просили куда-то написать. После установки утилиты др. веб вроде сообщение перестало приходить. 0

@scorer 0 / 0 / 0 Регистрация: 31.05.2011 Сообщений: 6
	31.05.2011, 23:02 [ТС]
	Да я из Лыткарино. Расширение на фотках не монялось. написано:.jpg Попробую сделать всё то что написали. 0

@thyrex 14450 / 7489 / 1582 Регистрация: 06.09.2009 Сообщений: 27,133
	01.06.2011, 12:09
	А также Попробуйте http://support.kaspersky.ru/vi... =208638517 и сообщите результат 1

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	01.06.2011, 13:25
	И ещё небольшая подборочка декрипторов: http://www.freedrweb.com/aid_admin/decode+encoder/ http://download.geo.drweb.com/... unlock.exe http://download.geo.drweb.com/... lstfix.exe http://support.kaspersky.ru/do... ryptor.zip 1

@thyrex 14450 / 7489 / 1582 Регистрация: 06.09.2009 Сообщений: 27,133
	01.06.2011, 15:43
	Katharsis Здесь шифровальщик Rector. Если версия последняя, то вряд ли расшифруется 0

@zirreX 392 / 306 / 5 Регистрация: 02.06.2010 Сообщений: 816
	02.06.2011, 11:54
	Также проверьтесь этой утилитой. 0

@Sfera 1130 / 161 / 4 Регистрация: 24.12.2010 Сообщений: 389
	03.06.2011, 08:40
	scorer, логи повторите, пожалуйста 0

@akok 2838 / 856 / 29 Регистрация: 01.09.2009 Сообщений: 1,043
	03.06.2011, 20:02
	Судя по всему вам необходимо думать в сторону бекапов. 0