Игорь60 0 Опубликовано 27 декабря, 2013 Share Опубликовано 27 декабря, 2013 Здравствуйте! Пользуюсь компом очень давно. Это у меня кормилец. По многим причинам я больше нахожусь дома и спасибо моей организации, что они меня держат. За это время были всякие бяки, атаки, вирусы и т.п. лечились разовыми операциями т.к. машинка старая и держать антивирус и работать не может. И вот оно наказание. Вчера при подключению к банку выскочила эта картинка. Все, что у меня рабочее переименовалось. Просто удаление этого расширения ничего не произошло. ПОМОГИТЕ. Это последняя работа которая у меня есть. Вордовские доки, таблицы екселя, 1с, пенсионный фонд,фсс. К уродам которые это рассылают никогда не обращусь, идти у них на поводу значит плодить их. Если уж не получится расшифроваться, то прокляну на смерть пересылателей и создателей этой гадости. Помогите пожалуйста Цитата Ссылка на сообщение Поделиться на другие сайты
Soft 1 505 Опубликовано 27 декабря, 2013 Share Опубликовано 27 декабря, 2013 (изменено) @Игорь60, приложите зашифрованный файл формата doc. xls, zip, jpg, docx или xlsx Порядок оформления запроса о помощи Изменено 27 декабря, 2013 пользователем Soft Цитата Ссылка на сообщение Поделиться на другие сайты
Игорь60 0 Опубликовано 27 декабря, 2013 Автор Share Опубликовано 27 декабря, 2013 Простите, мне сначала прислать образцы файлов, а потом выполнить все, что написано в Порядке оформления или наоборот Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 27 декабря, 2013 Share Опубликовано 27 декабря, 2013 или наоборот не важно. Цитата Ссылка на сообщение Поделиться на другие сайты
Игорь60 0 Опубликовано 27 декабря, 2013 Автор Share Опубликовано 27 декабря, 2013 не могу найти как прикрепить файлы Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 27 декабря, 2013 Share Опубликовано 27 декабря, 2013 Нажмите на кнопку "Расширенная форма" Цитата Ссылка на сообщение Поделиться на другие сайты
Игорь60 0 Опубликовано 27 декабря, 2013 Автор Share Опубликовано 27 декабря, 2013 вот не знаю правильно или нет. архив товчек с образцами доков. Случайно или нет но 2 подлома после перестановки ОС с ХР на семерку. на хр миловало более 10 лет, а может оператор был другой. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip тов_чек.xls.SOS@AUSI.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 27 декабря, 2013 Share Опубликовано 27 декабря, 2013 (изменено) Здравствуйте!Закройте все программыОтключите- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\rad5F892.tmp.exe',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\winsecyr.exe',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\ssecurity.exe',''); QuarantineFileF('C:\Users\Администратор\AppData\Roaming\Hyvyis', '*', true, ' ', 0, 0); QuarantineFileF('C:\Users\Администратор\AppData\Roaming\Evloi', '*', true, ' ', 0, 0); DeleteFile('C:\Users\Администратор\AppData\Roaming\ssecurity.exe','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\winsecyr.exe','32'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\rad5F892.tmp.exe','32'); DeleteFile('C:\Windows\Tasks\w2dstl009.job','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DisplaySwitch'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); DeleteFileMask('C:\Users\Администратор\AppData\Roaming\Hyvyis', '*', true, ' '); DeleteFileMask('C:\Users\Администратор\AppData\Roaming\Evloi', '*', true, ' '); DeleteDirectory('C:\Users\Администратор\AppData\Roaming\Evloi'); DeleteDirectory('C:\Users\Администратор\AppData\Roaming\Hyvyis'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(10); RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла".2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".3. Прикрепите файл карантина4. Введите изображенное на картинке число и нажмите "Далее".5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru O4 - HKLM\..\Run: [DisplaySwitch] "C:\Users\Администратор\AppData\Roaming\winsecyr.exe" Сделайте новые логи AVZ, RSIT Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.Самостоятельно ничего не удаляйте!Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtЕсли базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.Подробнее читайте в руководстве Изменено 27 декабря, 2013 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Игорь60 0 Опубликовано 27 декабря, 2013 Автор Share Опубликовано 27 декабря, 2013 вот что-то получилось info.txt log.txt MBAM-log-2013-12-28 (00-20-35).txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 27 декабря, 2013 Share Опубликовано 27 декабря, 2013 1. Что находится в этих папках? C:\H C:\Users\Администратор\AppData\Roaming\tor C:\Program Files\y007.ru 2. Эти файлы вам знакомы? D:\Bluetooth_5.5.0.8300\12\7600_RTM_v10.exe D:\Игры от Nevosoft\DeNevosoft.v2.exeD:\Игры от Nevosoft\mahjongg_artifacts_rus ККК.exeD:\Игры от Nevosoft\treasures_of_montezuma_rus.exeD:\Игры от Nevosoft\Fishdom\WrapperInstall.exeD:\Игры от Nevosoft\Mahjongg Artifacts\WrapperInstall.exeD:\Игры от Nevosoft\Treasures of MonteZuma\WrapperInstall.exeD:\K750i\Mobile2\Mobile Phone Monitor\closedbgout.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Игорь60 0 Опубликовано 27 декабря, 2013 Автор Share Опубликовано 27 декабря, 2013 1C:\H-программа HiJackThis C:\Users\Администратор\AppData\Roaming\tor C:\Program Files\y007.ru- давнишняя программа на компе даже не помню про что пункт 2 это игры софт для блютуза - все я качал tor.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 28 декабря, 2013 Share Опубликовано 28 декабря, 2013 Анонимайзером Tor ранее пользовались? Цитата Ссылка на сообщение Поделиться на другие сайты
Игорь60 0 Опубликовано 28 декабря, 2013 Автор Share Опубликовано 28 декабря, 2013 а что это такое Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 28 декабря, 2013 Share Опубликовано 28 декабря, 2013 (изменено) Программа, которая может скрывать сетевой адрес (IP) вашего компьютера. Если не пользовались или не знаете что это такое тогда эту C:\Users\Администратор\AppData\Roaming\tor папку лучше удалить. Изменено 28 декабря, 2013 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Игорь60 0 Опубликовано 28 декабря, 2013 Автор Share Опубликовано 28 декабря, 2013 удалил.нашел "чистый" файл копия зашифрованного екселя тов_чек.xls Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.