зашифровано с расширением *.zcrypt, *xenos , unlock92;MSI/Filecoder.AC

1
RSS
Сегодня случился инцидент. Мне на почту пришло сообщение мол с налоговой, мол судовое постановление и прочее, а я дурак попался. Скачал архив, включил файл cmd, и понеслась. Через 5 минут рабочий стол поменялся, выскочила картинка, мол "Баба яга украла все файлы, пенсия у не маленькая, но надо купить карточку какую то за 100$ и отправить всю нужную инфу на такой то сайт"
Я сразу же восстановление системы - файлы ещё зашифрованы. Сканирую - нахожу вирусняки - удаляю - файлы ещё зашифрованы. Облазил Интернет, в Автозагрузке убрал ААR - новая штука вылезла - как раз этот вирус. И в Диспетчере задач появились 2 левых процесса, которые закрыть было невозможно! Короче все файлы зашифрованы, по работе, учёбе, и личные! Что делать, подскажите? Одно знаю точно, что все файлы сменили расширение на "docxxenos", "jpgxenos", "pdfxenos".
Подскажите чем можете! Увы лицензии нет, но я прошу помочь мне![img]file:///C:/Users/user/Desktop[/img]
Так ещё прикол в том, что он зацепил файлы только на Рабочем столе, дальше он не полез!
2015-06-20_001534.jpg (148.22 КБ)
2015-06-20_001512.jpg (125.98 КБ)
Выполните http://forum.esetnod32.ru/forum6/topic5713/
Михаил
Хорошо!) Вот! И ещё + пара скриншотов - это нормально когда так?
     
6.jpg (42.65 КБ)
3.jpg (64.45 КБ)
1.jpg (45.32 КБ)
5.jpg (56.77 КБ)
2.jpg (64.05 КБ)
4.jpg (52.72 КБ)
Никита Чумак,

1. по очистке системы выполните это

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5RS0HTV1.DEFAULT\SEARCHPLUGINS\DELTA-HOMES.XML
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5RS0HTV1.DEFAULT\EXTENSIONS\SWEETSEARCH@GMAIL.COM\INSTALL.RDF
hide %SystemDrive%\PROGRAM FILES\WINDJVIEW\UNINSTALL.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMSHELLEXT64.DLL
delref HTTP://WWW.LUCKYSEARCHES.COM/?TYPE=HP&TS=1428742831&FROM=EXP&UID=HITACHIXHDS721010CLA332_JP2940HQ36K0PH36K0PHX
delref HTTP://WWW.LUCKYSEARCHES.COM/WEB/?TYPE=DS&TS=1428742831&FROM=EXP&UID=HITACHIXHDS721010CLA332_JP2940HQ36K0PH36K0PHX&Q={SEARCHTERMS}
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5RS0HTV1.DEFAULT\SEARCHPLUGINS\LUCKYSEARCHES.XML
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.DELTA-HOMES.COM/NEWTAB/?TYPE=NT&TS=1432145526&Z=5F5A9FAA8DD17521C472ADFG3Z0C5ODGCZBW4W4Z6M&FROM=WPM05203&UID=HITACHIXHDS721010CLA332_JP2940HQ36K0PH36K0PHX

delref HTTP://SEARCH.DELTA-HOMES.COM/WEB/?TYPE=DS&TS=1432145526&Z=5F5A9FAA8DD17521C472ADFG3Z0C5ODGCZBW4W4Z6M&FROM=WPM05203&UID=HITACHIXHDS721010CLA332_JP2940HQ36K0PH36K0PHX&Q={SEARCHTERMS}

regt 28
regt 29
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenALwEAX.exe" /U /S
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. восстановлению зашифрованных документов проверьте наличие чистых теневых копий.

3. по расшифровке документов (если необходима) при наличии лицензии на наш антивирус обратитесь в техподдержку support@esetnod32.ru
Сегодня по почте пришло письмо со зло вредом MSIL/Filecoder.AC
Зашифровал все документы.
Перед! тем как обратиться сюда почистили все с помощью UVS и другого софта для чистки реестра и временных файлов.
Антивирусники больше ни на что не реагировали (проверяли разными) в  почте письма не осталось. Походу Маил,ру грохнул его самостоятельно  (раньше не мог что ли грохнуть).
по расшифровке напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
1
Читают тему (гостей: 1)