Вирус шифрования. Все файлы зашифрованы

28 июля, 2015

Здравствуйте! У меня такая проблема: Появилась надпись красным на рабочем столе о том, что все файлы зашифрованы. Все файлы действительно зашифрованы и расширение - .xtbl На вирусы проверяла - то, что нашлось удалила. Утилиты RectorDecryptor и другие испробовала - не помогает. Помогите, пожалуйста.

CollectionLog-2015.07.28-21.40.zip

Изменено 28 июля, 2015 пользователем Элиза Губайдуллина

29 июля, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Маргарита\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrsetup.exe','');
QuarantineFile('C:\Users\Маргарита\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrlte.exe','');
QuarantineFile('C:\Program Files (x86)\Pay-By-Ads\Yahoo! Search\1.3.26.12\..\updt.js','');
SetServiceStart('ReimageRealTimeProtector', 4);
DeleteService('ReimageRealTimeProtector');
QuarantineFile('C:\Windows\system32\drivers\{bfb10c93-5530-4015-9a3f-61dfa880af58}w64.sys','');
TerminateProcessByName('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe','');
TerminateProcessByName('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
TerminateProcessByName('c:\program files (x86)\pay-by-ads\yahoo! search\1.3.26.12\dsrsetup.exe');
QuarantineFile('c:\program files (x86)\pay-by-ads\yahoo! search\1.3.26.12\dsrsetup.exe','');
TerminateProcessByName('c:\program files (x86)\pay-by-ads\yahoo! search\1.3.26.12\dsrlte.exe');
QuarantineFile('c:\program files (x86)\pay-by-ads\yahoo! search\1.3.26.12\dsrlte.exe','');
DeleteFile('c:\program files (x86)\pay-by-ads\yahoo! search\1.3.26.12\dsrlte.exe','32');
DeleteFile('c:\program files (x86)\pay-by-ads\yahoo! search\1.3.26.12\dsrsetup.exe','32');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe','32');
DeleteFile('C:\Windows\system32\drivers\{bfb10c93-5530-4015-9a3f-61dfa880af58}w64.sys','32');
DeleteFile('gupdate.sys','32');
DeleteFile('gupdatem.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search','command');
DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','64');
DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Updater','64');
DeleteFile('C:\Program Files (x86)\Pay-By-Ads\Yahoo! Search\1.3.26.12\..\updt.js','32');
DeleteFile('C:\Users\Маргарита\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrlte.exe','32');
DeleteFile('C:\Users\Маргарита\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrsetup.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Вирус шифрования. Все файлы зашифрованы

Рекомендуемые сообщения

Элиза Губайдуллина

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum