sos@ausi.com_fg160

[Игорь60]

Здравствуйте!

Пользуюсь компом очень давно. Это у меня кормилец. По многим причинам я больше нахожусь дома и спасибо моей организации, что они меня держат. За это время были всякие бяки, атаки, вирусы и т.п. лечились разовыми операциями т.к. машинка старая и держать антивирус и работать не может. И вот оно наказание. Вчера при подключению  к банку выскочила эта картинка. Все, что у меня рабочее переименовалось. Просто удаление этого расширения  ничего не произошло. ПОМОГИТЕ. Это последняя работа которая у меня есть. Вордовские доки, таблицы екселя, 1с, пенсионный фонд,фсс. К уродам которые это рассылают никогда не обращусь, идти у них на поводу значит плодить их. Если уж не получится расшифроваться, то прокляну на смерть пересылателей и создателей этой гадости.

Помогите пожалуйста

[Soft]

@Игорь60, приложите зашифрованный файл формата doc. xls, zip, jpg, docx или xlsx

Порядок оформления запроса о помощи

Изменено 27 декабря, 2013 пользователем Soft

[Игорь60]

Простите, мне сначала прислать образцы файлов, а потом выполнить все, что написано в Порядке оформления или наоборот

[Roman_Five]

 

 

или наоборот

не важно.

[Игорь60]

не могу найти как прикрепить файлы

[akoK]

Нажмите на кнопку "Расширенная форма"

[Игорь60]

вот не знаю правильно или нет. архив товчек с образцами доков. Случайно или нет но 2 подлома после перестановки ОС с ХР на семерку. на хр миловало более 10 лет, а может оператор был другой.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

тов_чек.xls.SOS@AUSI.zip

[mike 1]

Здравствуйте!

Закройте все программы

Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\rad5F892.tmp.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\winsecyr.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\ssecurity.exe','');
 QuarantineFileF('C:\Users\Администратор\AppData\Roaming\Hyvyis', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\Администратор\AppData\Roaming\Evloi', '*', true, ' ', 0, 0);     
 DeleteFile('C:\Users\Администратор\AppData\Roaming\ssecurity.exe','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\winsecyr.exe','32');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\rad5F892.tmp.exe','32');
 DeleteFile('C:\Windows\Tasks\w2dstl009.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DisplaySwitch');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);   
 DeleteFileMask('C:\Users\Администратор\AppData\Roaming\Hyvyis', '*', true, ' ');
 DeleteFileMask('C:\Users\Администратор\AppData\Roaming\Evloi', '*', true, ' ');
 DeleteDirectory('C:\Users\Администратор\AppData\Roaming\Evloi');     
 DeleteDirectory('C:\Users\Администратор\AppData\Roaming\Hyvyis');   
 BC_ImportAll;
ExecuteSysClean;    
BC_Activate;
 ExecuteRepair(3);       
 ExecuteRepair(10);    
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru
O4 - HKLM\..\Run: [DisplaySwitch] "C:\Users\Администратор\AppData\Roaming\winsecyr.exe"

Сделайте новые логи AVZ, RSIT

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

Изменено 27 декабря, 2013 пользователем mike 1

[Игорь60]

вот что-то получилось

info.txt

log.txt

MBAM-log-2013-12-28 (00-20-35).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[mike 1]

1. Что находится в этих папках?

 

C:\H

C:\Users\Администратор\AppData\Roaming\tor

C:\Program Files\y007.ru

 

2. Эти файлы вам знакомы?

 

D:\Bluetooth_5.5.0.8300\12\7600_RTM_v10.exe

D:\Игры от Nevosoft\DeNevosoft.v2.exe
D:\Игры от Nevosoft\mahjongg_artifacts_rus ККК.exe
D:\Игры от Nevosoft\treasures_of_montezuma_rus.exe
D:\Игры от Nevosoft\Fishdom\WrapperInstall.exe
D:\Игры от Nevosoft\Mahjongg Artifacts\WrapperInstall.exe
D:\Игры от Nevosoft\Treasures of MonteZuma\WrapperInstall.exe
D:\K750i\Mobile2\Mobile Phone Monitor\closedbgout.exe

 

[Игорь60]

1C:\H-программа HiJackThis

 

C:\Users\Администратор\AppData\Roaming\tor

 

C:\Program Files\y007.ru- давнишняя программа на компе даже не помню про что

пункт 2 это игры софт для блютуза - все я качал

tor.zip

[mike 1]

Анонимайзером Tor ранее пользовались?

[Игорь60]

а что это такое

[mike 1]

Программа, которая может скрывать сетевой адрес (IP) вашего компьютера. Если не пользовались или не знаете что это такое тогда эту C:\Users\Администратор\AppData\Roaming\tor папку лучше удалить.

Изменено 28 декабря, 2013 пользователем mike 1

[Игорь60]

удалил.нашел "чистый" файл копия зашифрованного екселя

тов_чек.xls