Удаление вируса после зашифровки файлов

[kpetko]

Добрый день. На прошлой неделе вирус зашифровал все рабочие файлы. Обращались в Dr.Web, но там не смогли дешифровать файлы.

На данный момент восстановили %70 важной информации путем резервных копий.

 

Волнует то, чт каждый день Dr. Web детектирует примерно в одно и тоже время пару угроз.

Прикрепляю отчет веба и автологгера.

Заранее благодарю за помощь.

 

 

 

 

Отчет веба:

 

 

 

CollectionLog-2015.09.22-08.59.zip

 

[mike 1]

Вот вроде хороший антивирус стоит, но система дырявая как решето из-за халатности администратора.

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Documents and Settings\Кирилл\Application Data\wraibetr\teewchvc.exe','');
 QuarantineFile('C:\Documents and Settings\Кирилл\Local Settings\Application Data\YcPack\kgvnigqk.dll','');
 QuarantineFile('C:\Documents and Settings\Кирилл\Local Settings\Application Data\Ekttion\fnnrodhb.dll','');
 QuarantineFile('C:\windows\vzrprzyujjh.exe','');
 QuarantineFile('C:\windows\vfcftrujkcu.exe','');
 QuarantineFile('C:\windows\mjmlhyorc.exe','');
 StopService('vzrprzyujjh');
 StopService('vfcftrujkcu');
 StopService('mjmlhyorc');
 DeleteService('vzrprzyujjh');
 DeleteService('vfcftrujkcu');
 DeleteService('mjmlhyorc');
 TerminateProcessByName('c:\windows\vzrprzyujjh.exe');
 QuarantineFile('c:\windows\vzrprzyujjh.exe','');
 TerminateProcessByName('c:\windows\vfcftrujkcu.exe');
 QuarantineFile('c:\windows\vfcftrujkcu.exe','');
 TerminateProcessByName('c:\windows\mjmlhyorc.exe');
 QuarantineFile('c:\windows\mjmlhyorc.exe','');
 DeleteFile('c:\windows\mjmlhyorc.exe','32');
 DeleteFile('c:\windows\vfcftrujkcu.exe','32');
 DeleteFile('c:\windows\vzrprzyujjh.exe','32');
 DeleteFile('C:\windows\mjmlhyorc.exe','32');
 DeleteFile('C:\windows\vfcftrujkcu.exe','32');
 DeleteFile('C:\windows\vzrprzyujjh.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YVPack');
 DeleteFile('C:\Documents and Settings\Кирилл\Local Settings\Application Data\Ekttion\fnnrodhb.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YcPack');
 DeleteFile('C:\Documents and Settings\Кирилл\Local Settings\Application Data\YcPack\kgvnigqk.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');
 DeleteFile('C:\Documents and Settings\Кирилл\Application Data\wraibetr\teewchvc.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ODBC');
ExecuteSysClean;
RebootWindows(true);
end.

 

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP прекращена

 

Установите SP3 (может потребоваться активация) + все новые обновления для Windows 

 

Установите Internet Explorer 8 (даже если им не пользуетесь)

 

Установка выше перечисленных обновлений является обязательной! Иначе смысла лечить такой компьютер нет. 

 

Сделайте новые логи Автологгером.