Решена - Вирус-шифровальщик изменил формат файлов на .xtbl как удалить?

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Cepe)|(a, 15 апр 2015.

  1. Cepe)|(a

    Cepe)|(a Newbie

    Здравствуйте! Прошу оказать помощь! Около месяца назад поменялась картинка на рабочем столе со стандартной на черную с следующим содержанием: "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности можете прочитать в файлах readme.txt, которые можно найти на любом из дисков."
    Содержание файлов говорит о необходимости связаться через эл.почту с автором этого вируса, для получения инструкции для расшифровки.
    Прилагаю логи согласно инструкции (http://www.adminplanet.ru/t2067.html)
    https://yadi.sk/i/VZczYZSNg2LMi - hijackthis.log
    https://yadi.sk/d/BDVN7p8lg2Ljn - avz LOG
    https://yadi.sk/d/heZfw8tHg2La5 - образ автозапуска

    Пожалуйста помогите! Независимо от решения, большое спасибо за внимание :)
     
  2. oleg

    oleg Expert Вирусоборец

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.85 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    v385c
    delall %SystemDrive%\USERS\СЕРЕГА\APPDATA\LOCAL\YANDEX\BROWSER.BAT
    delall %SystemDrive%\IEXPLORE.BAT
    delall %SystemDrive%\USERS\СЕРЕГА\APPDATA\LOCAL\SKYMONK2\SKYMONK2.EXE
    delall %SystemDrive%\USERS\СЕРЕГА\APPDATA\LOCAL\SKYMONK2\UNINSTALL.EXE
    delall %SystemDrive%\USERS\СЕРЕГА\APPDATA\LOCAL\31562\UPDATER.EXE
    delref HTTP://WEBALTA.RU
    delref HTTP://WEBALTA.RU/POISK
    delref HTTP://FORETUNED.COM/
    delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=E138405EDFA697C2CE5DFFAD0B6944B3&TEXT={SEARCHTERMS}
    delref HTTP://WWW.YANDEX.RU/?CLID=21973
    delref HTTP://MAIL.RU/CNT/10445?GP=BLACKBEAR5
    delall %SystemDrive%\PROGRAM FILES\YANDEX\DESKTOP\YANDESK.EXE
    delref YANDEX.RU
    delall %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
    delall E:\AUTORUN.EXE
    delref HTTP:\\WWW.MAIL.RU\CNT\8136
    regt 1
    regt 2
    regt 12
    regt 14
    regt 18
    deltmp
    delnfr
    restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    2. Cделайте лог MBAM MBAM и
    дайте ссылку на файл лога.*выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

    Вирус мы сможем удалить, дабы ваши файлы повторно не шифровались, а вот расшифровать ранее зашифрованные файлы к сожалению пока нет возможности, у лабораторий в том числе.
     
  3. Cepe)|(a

    Cepe)|(a Newbie

    Спасибо! Вот ссылка на лог МВАМ https://yadi.sk/i/Gcyt7OiVgEh2G
    хоть и много жалоб на подозрительные файлы, ничего не удалил без Вашей консультации.
     
  4. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Оставить только это
    Остальное удалить.
     

Поделиться этой страницей