Вирус или вредоносное ПО повредило все старые файлы MS Office (docx, xlsx)

[sloda53]

Добрый день!
Столкнулся с каким-то вредоносным ПО, которое повредило все мои старые файлы с расширением .docx и .xlsx.(новый созданный файл работает) При попытке открытия файлов word, excel выдаёт сообщение "приложением excel в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён и не подходит расширение.

 

После установил лицензии Kaspersky Premium.

Сделал полную диагностику и он удалили какие то вирус, но файлы не открываются.

Прикрепляю отчет из касперского, пару файлов и скрин ошибки.

Спасибо.

 

10-06-2025_14-31-35.zip

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Полученные логи прикрепите в этой же теме, новую создавать не нужно.

[sloda53]

Извините сразу не разобрался.

Прикрепляю логи.

CollectionLog-2025.06.30-22.27.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[sloda53]

2 файла там внутри.

Addition.zip

Изменено 1 июля пользователем sloda53

[thyrex]

Окончания сканирования Вы не дождались. При сканировании Другие области программа не зависает, как Вы подумали, а продолжает работу.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-05-13] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2024-10-08] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [143360 2025-06-14] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-06-14] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [181176 2025-06-14] (Microsoft Windows -> Корпорация Майкрософт)
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
File: C:\WINDOWS\MediumAqua.exe
Folder: C:\Program Files\Microsoft Office\DOCRECRYPT
C:\Users\sloda\AppData\Roaming\Microsoft\Word\Бейджиг%20-%20образец311890162146355716\Бейджиг%20-%20образец.docx.lnk
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

 

Соберите новый комплект логов Farbar, сделав все, как положено.

[sloda53]

Вроде все правильно сделал, подождал пока напишет сканирование завершено.

FRST.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
FirewallRules: [{E7D8A337-2427-4F1A-AD8C-514F3C05104E}] => (Allow) C:\Users\sloda\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{828D4D10-0567-43E3-B5FF-F55929D1E46F}] => (Allow) C:\Users\sloda\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{D1A6D8C7-12ED-4166-9505-E1241F9EFDB8}C:\users\sloda\desktop\anydesk.exe] => (Allow) C:\users\sloda\desktop\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{F15D858C-8EE9-4E17-B995-F51597A146FC}C:\users\sloda\desktop\anydesk.exe] => (Allow) C:\users\sloda\desktop\anydesk.exe => Нет файла
FirewallRules: [TCP Query User{7C60F37B-24D2-484C-ADBA-AA00C21A1420}C:\users\sloda\documents\удаленка\anydesk.exe] => (Allow) C:\users\sloda\documents\удаленка\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{DF962720-C955-4FC7-9E4A-8EA048E8C614}C:\users\sloda\documents\удаленка\anydesk.exe] => (Allow) C:\users\sloda\documents\удаленка\anydesk.exe => Нет файла
FirewallRules: [{B9D4A990-D535-4C5D-8E9A-E42648211A35}] => (Allow) C:\Users\sloda\Documents\Удаленка\AnyDesk.exe => Нет файла
FirewallRules: [{E58E30A3-C1A5-4035-95F3-99C74A1BFA3A}] => (Allow) C:\Users\sloda\Documents\Удаленка\AnyDesk.exe => Нет файла
FirewallRules: [{7D583427-5FE5-437E-AF00-96021654A60B}] => (Allow) C:\Users\sloda\Documents\Удаленка\AnyDesk.exe => Нет файла
FirewallRules: [{FCC79779-B200-49C5-8E01-3E02C8E8989A}] => (Allow) C:\Users\sloda\Documents\Удаленка\AnyDesk.exe => Нет файла
FirewallRules: [{44EF7D94-4856-418D-9FF9-3F95C6686157}] => (Allow) C:\Users\sloda\Documents\Удаленка\AnyDesk.exe => Нет файла
FirewallRules: [{5E60FEB2-B04B-46F4-9F6A-7DAEB13D2F37}] => (Allow) C:\Users\sloda\Documents\Удаленка\AnyDesk.exe => Нет файла
Folder: C:\ProgramData\dqkdebodamgm
Folder: C:\Users\sloda\AppData\Local\1749377322
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Цитата

2025-06-08 13:09 - 2009-06-29 11:32 - 966787072 _____ ( ) C:\WINDOWS\Wheat.exe
2025-06-08 13:08 - 2025-06-06 03:25 - 862978048 _____ (Microsoft Corporation) C:\WINDOWS\MediumAqua.exe

эти файлы Вам известны?

[sloda53]

Данные файлы мне не известны.

Новый лог файл, перезаписывает старый файл? прикрепил вроде правильный

Fixlog.zip

Изменено 2 июля пользователем sloda53

[thyrex]

5 минут назад, sloda53 сказал:

Данные файлы мне не известны.

Заархивируйте их с паролем malware123, загрузите на https://dropmefiles.com и пришлите ссылку на скачивание мне в личные сообщения. Если не получится в личные сообщения, выложите ссылку в своем следующем сообщении.

 

Папки C:\ProgramData\dqkdebodamgm и C:\Users\sloda\AppData\Local\1749377322 удалите вручную.

[sloda53]

Сейчас сделаю, в процессе касперски нашел еще вирус

PDM:Troian.Win32.Bazon.a,

Расположение: C:\WINDOWS\Wheat.exe

лечить или что сделать?

Изменено 2 июля пользователем sloda53

[thyrex]

До того, как пришлете мне, никакого лечения.

[sloda53]

Добрый день.

Касперски сам удалил оба вируса при выключение компа в 22-52 и при включение в 7-00.

Фото прикрепляю

Изменено 3 июля пользователем sloda53

[sloda53]

Добрый день, мы продолжим работу по удалению полностью вируса?

[thyrex]

Ну так предположительный вирус антивирус и так уже снес.

 

По поводу повреждения: поиск в сети показал, что используются стандартные возможности Office по защите файлов паролем, но к ним дополнительно еще применено что-то еще, что повреждает файлы и восстановить их не представляется возможным. И поэтому даже до запроса пароля не доходит в этом в случае.