Перейти к содержанию
Правила раздела

Удаление вируса после зашифровки файлов

kpetko

Автор kpetko
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

kpetko

kpetko

Опубликовано
Опубликовано

Добрый день. На прошлой неделе вирус зашифровал все рабочие файлы. Обращались в Dr.Web, но там не смогли дешифровать файлы.

На данный момент восстановили %70 важной информации путем резервных копий.

 

Волнует то, чт каждый день Dr. Web детектирует примерно в одно и тоже время пару угроз.

Прикрепляю отчет веба и автологгера.

Заранее благодарю за помощь.

 

 

 

 

Отчет веба:

post-35911-0-11851400-1442902531_thumb.jpg

 

 

 

CollectionLog-2015.09.22-08.59.zip

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Вот вроде хороший антивирус стоит, но система дырявая как решето из-за халатности администратора.

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Documents and Settings\Кирилл\Application Data\wraibetr\teewchvc.exe','');
 QuarantineFile('C:\Documents and Settings\Кирилл\Local Settings\Application Data\YcPack\kgvnigqk.dll','');
 QuarantineFile('C:\Documents and Settings\Кирилл\Local Settings\Application Data\Ekttion\fnnrodhb.dll','');
 QuarantineFile('C:\windows\vzrprzyujjh.exe','');
 QuarantineFile('C:\windows\vfcftrujkcu.exe','');
 QuarantineFile('C:\windows\mjmlhyorc.exe','');
 StopService('vzrprzyujjh');
 StopService('vfcftrujkcu');
 StopService('mjmlhyorc');
 DeleteService('vzrprzyujjh');
 DeleteService('vfcftrujkcu');
 DeleteService('mjmlhyorc');
 TerminateProcessByName('c:\windows\vzrprzyujjh.exe');
 QuarantineFile('c:\windows\vzrprzyujjh.exe','');
 TerminateProcessByName('c:\windows\vfcftrujkcu.exe');
 QuarantineFile('c:\windows\vfcftrujkcu.exe','');
 TerminateProcessByName('c:\windows\mjmlhyorc.exe');
 QuarantineFile('c:\windows\mjmlhyorc.exe','');
 DeleteFile('c:\windows\mjmlhyorc.exe','32');
 DeleteFile('c:\windows\vfcftrujkcu.exe','32');
 DeleteFile('c:\windows\vzrprzyujjh.exe','32');
 DeleteFile('C:\windows\mjmlhyorc.exe','32');
 DeleteFile('C:\windows\vfcftrujkcu.exe','32');
 DeleteFile('C:\windows\vzrprzyujjh.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YVPack');
 DeleteFile('C:\Documents and Settings\Кирилл\Local Settings\Application Data\Ekttion\fnnrodhb.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YcPack');
 DeleteFile('C:\Documents and Settings\Кирилл\Local Settings\Application Data\YcPack\kgvnigqk.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');
 DeleteFile('C:\Documents and Settings\Кирилл\Application Data\wraibetr\teewchvc.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ODBC');
ExecuteSysClean;
RebootWindows(true);
end.

 
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP прекращена
 
Установите SP3 (может потребоваться активация) + все новые обновления для Windows 
 
Установите Internet Explorer 8 (даже если им не пользуетесь)
 
Установка выше перечисленных обновлений является обязательной! Иначе смысла лечить такой компьютер нет. 
 
Сделайте новые логи Автологгером. 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Вадим_АнтиВирус
      Помощь в удаленнии вируса
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • Durb
      [РЕШЕНО] Нужна помощь в удалении вируса Tool.BtcMine.2812
      Автор Durb
      Никак не могу удалить. Майнер возвращается после перезапуска системы
      CollectionLog-2025.07.18-15.25.zip
    • Chel_Yaa
      [РЕШЕНО] Нужна помощь в удалении вируса Tool.btcmine.2794
      Автор Chel_Yaa
      Заметил что ноутбук начал шуметь во время простоя также видеокарта забита на 100%
       
       
      CollectionLog-2025.06.16-20.26.zip
    • Jonnoton
      MEM:Trojan.Win64.Shellcode.gen помогите с удалением
      Автор Jonnoton
      Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
       
      CollectionLog-2025.07.31-10.14.zip
    • godstar
      updater.exe файл-вирус, также майнер
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
×
×
  • Создать...