Перейти к содержанию
Правила раздела

Вирус или вредоносное ПО повредило все старые файлы MS Office (docx, xlsx)

sloda53

Автор sloda53
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

sloda53 Новичок

sloda53

Опубликовано
Опубликовано

Добрый день!
Столкнулся с каким-то вредоносным ПО, которое повредило все мои старые файлы с расширением .docx и .xlsx.(новый созданный файл работает) При попытке открытия файлов word, excel выдаёт сообщение "приложением excel в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён и не подходит расширение.

 

После установил лицензии Kaspersky Premium.

Сделал полную диагностику и он удалили какие то вирус, но файлы не открываются.

Прикрепляю отчет из касперского, пару файлов и скрин ошибки.

Спасибо.

 

10-06-2025_14-31-35.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Полученные логи прикрепите в этой же теме, новую создавать не нужно.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Окончания сканирования Вы не дождались. При сканировании Другие области программа не зависает, как Вы подумали, а продолжает работу.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-05-13] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2024-10-08] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [143360 2025-06-14] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-06-14] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [181176 2025-06-14] (Microsoft Windows -> Корпорация Майкрософт)
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
File: C:\WINDOWS\MediumAqua.exe
Folder: C:\Program Files\Microsoft Office\DOCRECRYPT
C:\Users\sloda\AppData\Roaming\Microsoft\Word\Бейджиг%20-%20образец311890162146355716\Бейджиг%20-%20образец.docx.lnk
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

 

Соберите новый комплект логов Farbar, сделав все, как положено.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
FirewallRules: [{E7D8A337-2427-4F1A-AD8C-514F3C05104E}] => (Allow) C:\Users\sloda\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{828D4D10-0567-43E3-B5FF-F55929D1E46F}] => (Allow) C:\Users\sloda\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{D1A6D8C7-12ED-4166-9505-E1241F9EFDB8}C:\users\sloda\desktop\anydesk.exe] => (Allow) C:\users\sloda\desktop\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{F15D858C-8EE9-4E17-B995-F51597A146FC}C:\users\sloda\desktop\anydesk.exe] => (Allow) C:\users\sloda\desktop\anydesk.exe => Нет файла
FirewallRules: [TCP Query User{7C60F37B-24D2-484C-ADBA-AA00C21A1420}C:\users\sloda\documents\удаленка\anydesk.exe] => (Allow) C:\users\sloda\documents\удаленка\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{DF962720-C955-4FC7-9E4A-8EA048E8C614}C:\users\sloda\documents\удаленка\anydesk.exe] => (Allow) C:\users\sloda\documents\удаленка\anydesk.exe => Нет файла
FirewallRules: [{B9D4A990-D535-4C5D-8E9A-E42648211A35}] => (Allow) C:\Users\sloda\Documents\Удаленка\AnyDesk.exe => Нет файла
FirewallRules: [{E58E30A3-C1A5-4035-95F3-99C74A1BFA3A}] => (Allow) C:\Users\sloda\Documents\Удаленка\AnyDesk.exe => Нет файла
FirewallRules: [{7D583427-5FE5-437E-AF00-96021654A60B}] => (Allow) C:\Users\sloda\Documents\Удаленка\AnyDesk.exe => Нет файла
FirewallRules: [{FCC79779-B200-49C5-8E01-3E02C8E8989A}] => (Allow) C:\Users\sloda\Documents\Удаленка\AnyDesk.exe => Нет файла
FirewallRules: [{44EF7D94-4856-418D-9FF9-3F95C6686157}] => (Allow) C:\Users\sloda\Documents\Удаленка\AnyDesk.exe => Нет файла
FirewallRules: [{5E60FEB2-B04B-46F4-9F6A-7DAEB13D2F37}] => (Allow) C:\Users\sloda\Documents\Удаленка\AnyDesk.exe => Нет файла
Folder: C:\ProgramData\dqkdebodamgm
Folder: C:\Users\sloda\AppData\Local\1749377322
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Цитата

2025-06-08 13:09 - 2009-06-29 11:32 - 966787072 _____ ( ) C:\WINDOWS\Wheat.exe
2025-06-08 13:08 - 2025-06-06 03:25 - 862978048 _____ (Microsoft Corporation) C:\WINDOWS\MediumAqua.exe

эти файлы Вам известны?

Ссылка на комментарий
Поделиться на другие сайты
sloda53 Новичок

sloda53

Опубликовано
  • Автор
Опубликовано (изменено)

Данные файлы мне не известны.

Новый лог файл, перезаписывает старый файл? прикрепил вроде правильный

Fixlog.zip

Изменено пользователем sloda53
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
5 минут назад, sloda53 сказал:

Данные файлы мне не известны.

Заархивируйте их с паролем malware123, загрузите на https://dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения. Если не получится в личные сообщения, выложите ссылку в своем следующем сообщении.

 

Папки C:\ProgramData\dqkdebodamgm и C:\Users\sloda\AppData\Local\1749377322 удалите вручную.

Ссылка на комментарий
Поделиться на другие сайты
sloda53 Новичок

sloda53

Опубликовано
  • Автор
Опубликовано (изменено)

Сейчас сделаю, в процессе касперски нашел еще вирус

PDM:Troian.Win32.Bazon.a,

Расположение: C:\WINDOWS\Wheat.exe

лечить или что сделать?

Изменено пользователем sloda53
Ссылка на комментарий
Поделиться на другие сайты
sloda53 Новичок

sloda53

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день.

Касперски сам удалил оба вируса при выключение компа в 22-52 и при включение в 7-00.

Фото прикрепляю

2025-07-03112846.thumb.png.158ab425317aa0fd0712e8196e875353.png

Изменено пользователем sloda53
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • serj_serj
      Вирус или вредоносное ПО повредило все файлы MS Office (docx, xlsx и возможно другие)
      Автор serj_serj
      Добрый день!
      Столкнулся с каким-то вредоносным ПО скорее всего, которое повредило все мои файлы с расширением .docx и .xlsx. При попытке открытия файлов MS Office выдаёт сообщение "приложением word в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён.

      Сканировал Kaspersky Virus Removal Tool, обнаружены:
      1. MEM:Trojan.Win32.SEPEH.gen
      System Memory
      Троянская программа
      2. HEUR:HackTool.Win32.KMSAuto.gen
      C:\Windows\AAct_Tools\AAct.exe

      Пока никаких действий не принимал. Каких-либо действий по вымогательству (если это шифровальщик) не было.
      Логи прикрепляю.
      Получится ли восстановить данные из повреждённых файлов? 
      CollectionLog-2025.03.27-21.39.zip
      ещё для примера прикладываю архив с повреждёнными файлами
      повреждённые файлы.rar
    • Максим1985
      Вирус повредил все файлы docx, xlsx
      Автор Максим1985
      Добрый день!
      Столкнулся с каким-то вредоносным ПО, которое повредило все файлы с расширением .docx и .xlsx созданные до 28.03.2025. При попытке открытия файлов MS Office выдаёт сообщение "приложением word в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён.
      Сканировал Kaspersky Virus Removal Tool и Dr.Web CureIt, вирусов не нашел.
      Действий по вымогательству (если это шифровальщик) не было.
      Логи прикрепляю.
      Была уже похожая тема (
      ), но все же может получится исправить.
      CollectionLog-2025.04.02-10.58.zip Телефон аварийная ситуация.docx Ведомость электропотребления 2025г (1).xlsx
    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • godstar
      updater.exe файл-вирус, также майнер
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
×
×
  • Создать...