Проник вирус помогите пожайлуста - Форум технической поддержки ESET NOD32

Сообщений: 3

Баллов: 1

Регистрация: 15.05.2015

Размещено 15.05.2015 15:28:24

Добрый день. Я сидел с браузера яндекс, ушел на пол часа и по приходу увидел что все фото и медиа файлы переведены в неизвестный мне формат и на рабочем столе написано "Внимание все важные файлы на всех дисках были зашифрованы подробности прочитать в файле readme.txt Формат файлов .xtbl Что делать??? помогите

Сообщений: 3

Баллов: 1

Регистрация: 15.05.2015

Размещено 15.05.2015 15:31:25

Даже не получается сохранить файл для демонстрации пишет при сохранении файла произошла ошибка

Сообщений: 5198

Баллов: 4168

Регистрация: 12.05.2010

Размещено 15.05.2015 16:02:51

Сергей Котлов, сделайте лог uVS для очистки системы http://forum.esetnod32.ru/forum9/topic683/
Шансы на расшифровку, увы, крайне малы. При наличие лицензии по вопросу поиска дешифратора обратитесь на [email protected]

ESET Technical Support

Сообщений: 3

Баллов: 1

Регистрация: 15.05.2015

Размещено 15.05.2015 22:56:23

Вот что получилось что скажете можно вылечить?

Прикрепленные файлы

SERGEI_2015-05-15_23-45-15.rar (985.7 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 16.05.2015 17:45:13

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v3.85.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c delref HTTP://SEARCHVAP.RU delref HTTP://HELP.YANDEX.RU/YABROWSER/ delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1430060672&FROM=FACE&UID=WDCXWD3200BPVT-22JJ5T0_WD-WXR1CC14040240402 delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1430060672&FROM=FACE&UID=WDCXWD3200BPVT-22JJ5T0_WD-WXR1CC14040240402&Q={SEARCHTERMS} del %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\YANDEX\BROWSER.BAT del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME.BAT del %SystemDrive%\IEXPLORE.BAT del %SystemDrive%\LAUNCHER.BAT delref HTTP:\\SEARCHVAP.RU delref $603C2,3780238,54272,C:\USERS\СЕРГЕЙ\DOWNLOADS\TUNNGLE_SETUP_V4.5.1.3.EXE delall %SystemDrive%\USERS\??????\APPDATA\ROAMING\21L65UVUECS5YFK.EXE delall %SystemDrive%\USERS\??????\APPDATA\ROAMING\YWD5TXLWPDUCUR4HYUS15GL.EXE delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.0.0.5166\BAIDUANTRAY.EXE delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4605\BAIDUSDTRAY.EXE bl 72E60011AEBB26994353E6D52E1D1389 67144 delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL bl FA0754BCDE5D98FDEE174F8F44DE42D8 1517256 delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDDOWNLOADER.EXE delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4605\BDKVDESKBAND64.DLL delall %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0\PSMACHINE.DLL delall %SystemDrive%\PROGRAM FILES (X86)\DLL-FILES.COM FIXER\DLLFIXER.EXE delall %SystemDrive%\PROGRAM FILES (X86)\OBNOVI SOFT\UNINSTALL.EXE delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\KOMETA\APPLICATION\KOMETA.EXE delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\SMARTWEB\SMARTWEBHELPER.EXE delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\ISTARTSURF\UNINSTALLMANAGER.EXE bl 5950D438CD3DDF2DD50D9FA4E07A6C1C 958024 bl 923393F88DA7C82F1E4410EA7C12BEE7 777728 delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MAILUPDATE\MAILUPDATE.EXE deltmp delnfr regt 27 regt 28 regt 29 restart

Код

     


;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref HTTP://SEARCHVAP.RU
delref HTTP://HELP.YANDEX.RU/YABROWSER/
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1430060672&FROM=FACE&UID=WDCXWD3200BPVT-22JJ5T0_WD-WXR1CC14040240402
delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1430060672&FROM=FACE&UID=WDCXWD3200BPVT-22JJ5T0_WD-WXR1CC14040240402&Q={SEARCHTERMS}
del %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\YANDEX\BROWSER.BAT
del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME.BAT
del %SystemDrive%\IEXPLORE.BAT
del %SystemDrive%\LAUNCHER.BAT
delref HTTP:\\SEARCHVAP.RU
delref $603C2,3780238,54272,C:\USERS\СЕРГЕЙ\DOWNLOADS\TUNNGLE_SETUP_V4.5.1.3.EXE
delall %SystemDrive%\USERS\??????\APPDATA\ROAMING\21L65UVUECS5YFK.EXE
delall %SystemDrive%\USERS\??????\APPDATA\ROAMING\YWD5TXLWPDUCUR4HYUS15GL.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUAN\4.0.0.5166\BAIDUANTRAY.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4605\BAIDUSDTRAY.EXE
bl 72E60011AEBB26994353E6D52E1D1389 67144
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL
bl FA0754BCDE5D98FDEE174F8F44DE42D8 1517256
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDDOWNLOADER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\3.0.0.4605\BDKVDESKBAND64.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0\PSMACHINE.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\DLL-FILES.COM FIXER\DLLFIXER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\OBNOVI SOFT\UNINSTALL.EXE
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\KOMETA\APPLICATION\KOMETA.EXE
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\SMARTWEB\SMARTWEBHELPER.EXE
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\ISTARTSURF\UNINSTALLMANAGER.EXE
bl 5950D438CD3DDF2DD50D9FA4E07A6C1C 958024
bl 923393F88DA7C82F1E4410EA7C12BEE7 777728
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MAILUPDATE\MAILUPDATE.EXE
deltmp
delnfr
regt 27
regt 28
regt 29
restart

-------------
Далее выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Изменено: RP55 RP55 - 16.05.2015 17:48:29

Проник вирус помогите пожайлуста , Заблокировал все файлы.