Доброго времени суток. Все файлы Jpg, pdf, xml, doc может ещё какие поменяли расширение на [email protected]_lot2014. Например DSC00058.jpg стал [email protected]_lot2014. Может, кто сталкивался, подскажите пожалуйста.
Доброго времени суток. Все файлы Jpg, pdf, xml, doc может ещё какие поменяли расширение на [email protected]_lot2014. Например DSC00058.jpg стал [email protected]_lot2014. Может, кто сталкивался, подскажите пожалуйста.
Последний раз редактировалось Snowball86; 12.03.2014 в 11:32.
Уважаемый(ая) Snowball86, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('e:\docume~1\pekarek\locals~1\temp\~dmp25592.tmp.exe'); QuarantineFileF('E:\Documents and Settings\Pekarek\Application Data\Fahuli', '*', true, ' ', 0, 0); QuarantineFile('E:\WINDOWS.0\system32\service.exe',''); QuarantineFile('E:\Documents and Settings\Pekarek\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe',''); QuarantineFile('E:\Documents and Settings\Pekarek\Local Settings\Application Data\Microsoft\Windows\winupdate.exe',''); QuarantineFile('E:\Documents and Settings\Pekarek\Local Settings\Application Data\Google\Update\gupdate.exe',''); QuarantineFile('E:\Documents and Settings\Pekarek\Application Data\Fahuli\yrvoq.exe',''); QuarantineFile('E:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msteaaaay.pif',''); QuarantineFile('e:\docume~1\pekarek\locals~1\temp\~dmp25592.tmp.exe',''); DeleteFile('E:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msteaaaay.pif','32'); DeleteFile('E:\Documents and Settings\Pekarek\Application Data\Fahuli\yrvoq.exe','32'); DeleteFile('E:\Documents and Settings\Pekarek\Local Settings\Application Data\Google\Update\gupdate.exe','32'); DeleteFile('E:\Documents and Settings\Pekarek\Local Settings\Application Data\Microsoft\Windows\winupdate.exe','32'); DeleteFile('E:\Documents and Settings\Pekarek\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe','32'); DeleteFile('E:\DOCUME~1\Pekarek\LOCALS~1\Temp\~dmp25592.tmp.exe','32'); DeleteFile('E:\WINDOWS.0\Tasks\ade438r41.job','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','6976'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{AD1146ED-096C-177E-5F6F-B102C4C695F2}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService'); DeleteFileMask('E:\Documents and Settings\Pekarek\Application Data\Fahuli', '*', true, ' '); DeleteDirectory('E:\Documents and Settings\Pekarek\Application Data\Fahuli'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:O4 - HKCU\..\Run: [NvUpdService] E:\Documents and Settings\Pekarek\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe /app 395D32CC4C6C11743C37D76783B66ADC O4 - HKCU\..\Run: [Google Update] E:\Documents and Settings\Pekarek\Local Settings\Application Data\Google\Update\gupdate.exe /app 395D32CC4C6C11743C37D76783B66ADC O4 - HKCU\..\Run: [{AD1146ED-096C-177E-5F6F-B102C4C695F2}] "E:\Documents and Settings\Pekarek\Application Data\Fahuli\yrvoq.exe" O4 - HKLM\..\Policies\Explorer\Run: [6976] E:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msteaaaay.pif O4 - Startup: winupdate.lnk = E:\Documents and Settings\Pekarek\Local Settings\Application Data\Microsoft\Windows\winupdate.exe
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
вот сделал как вы и просили
В MBAM удалите все кроме:
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.Код:Обнаруженные файлы: E:\Documents and Settings\Pekarek\Мои документы\Downloads\MediaGet_id4100357ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. G:\WINDOWS.1\system32\CPLBonus\pkey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято. G:\Новая папка\Patch\Patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято. G:\Dowloads 2010\Portable Multi Password Recovery\UpdateChecker.exe (Riskware.MPR) -> Действие не было предпринято. G:\music2\Winrar 4.65 Full.exe (Spyware.Agent) -> Действие не было предпринято. G:\music2\winamp5621_full_emusic-7plus_all.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. G:\Program Files\ABBYY FineReader 10\10.0.102.109N.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято. G:\Program Files\Microsoft Office\KMS\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято. G:\Program Files\MixMeister Fusion\Patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято. G:\WINDOWS.0\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято. G:\games\Angry Birds Seasons 241\angry.birds.all-patch.offline.v1.2.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято. G:\games\AngryBirdsSpace\angry.birds.all-patch.offline.v1.2.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято. G:\Downloads 2014\01\Adobe.Photoshop.CS6.v13.0.Pre.Release.Incl.Keymaker_CORE(ENG)\keygen.exe (Trojan.Agent) -> Действие не было предпринято. G:\Downloads 2014\01\Adobe.Photoshop.CS6.v13.0.Pre.Release.Incl.Keymaker_CORE(ENG)\crack PS CS6\crack\x64\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято. G:\Downloads 2014\01\Adobe.Photoshop.CS6.v13.0.Pre.Release.Incl.Keymaker_CORE(ENG)\crack PS CS6\crack\x86\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято. G:\WINDOWS\Cleanup.exe (Trojan.Dropped) -> Действие не было предпринято. G:\WINDOWS\system32\hidcon.exe (Trojan.Dropped) -> Действие не было предпринято. G:\WINDOWS\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято. E:\WINDOWS.0\system32\service.exe (Backdoor.Bot) -> Действие не было предпринято.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Всё удалил, как было сказано. Вот лог
Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:G:\WINDOWS\Cleanup.exe E:\WINDOWS.0\system32\service.exe
файлы
рекомендую удалить, тем более winrar актуальная версия 5.01Код:E:\Documents and Settings\Pekarek\Мои документы\Downloads\MediaGet_id4100357ids1s.exe G:\music2\Winrar 4.65 Full.exe
Файлы удалил, тем более устаревшие.)))))) А как в карантин послать не могу понять, там архив просит. Мне заархивировать G:\WINDOWS\Cleanup.exe
E:\WINDOWS.0\system32\service.exe или как? я немного не понял.
http://virusinfo.info/content.php?r=136-pravila
раздел приложения 1 и 2 прочтите.
- - - Добавлено - - -
Либо выполните скрипт AVZ
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.Код:begin QuarantineFile('G:\WINDOWS\Cleanup.exe',''); QuarantineFile('E:\WINDOWS.0\system32\service.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Если G:\, E:\ - внешние диски, то на время выполнения скрипта подключите их.
Всё сделал, какрантин отправил.
Дальше то что делать?
Этот E:\WINDOWS.0\system32\service.exe файл удалите.
Дешифратором для этой версии пока никто не поделился.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Snowball86, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.