http://zalil.ru/34725753 зашифрованный файл.
http://zalil.ru/34725754 что себя представляет уведомление
http://zalil.ru/34725753 зашифрованный файл.
http://zalil.ru/34725754 что себя представляет уведомление
Уважаемый(ая) Avenchik, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZI5AL1ZZ\87[1].html',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NWYD8KSU\87[1].html',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NWYD8KSU\312[1].html',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NWYD8KSU\267[1].html',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LWCVY89Z\4[1].html',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LWCVY89Z\328[1].html',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LWCVY89Z\267[1].html',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IMDRGFO2\310[1].html',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IMDRGFO2\308[1].html',''); QuarantineFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8TRPPP6Y\267[1].html',''); QuarantineFile('c:\progra~2\dxsadejr.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\swservice.exe',''); QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Vyobe\ezkaq.exe',''); SetServiceStart('newdriver', 4); DeleteService('newdriver'); QuarantineFile('C:\Windows\hobio.sys',''); TerminateProcessByName('c:\windows\temp\3fcf7.exe'); QuarantineFile('c:\windows\temp\3fcf7.exe',''); DeleteFile('c:\windows\temp\3fcf7.exe'); DeleteFile('C:\Windows\hobio.sys'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\Vyobe\ezkaq.exe'); DeleteFile('C:\Users\Пользователь\AppData\Roaming\swservice.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HomePages'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Akoqykotnu'); DeleteFile('c:\progra~2\dxsadejr.exe'); DeleteFile('C:\Windows\Tasks\saxuvv9u.job'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8TRPPP6Y\267[1].html'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GBY2KGD3\267[1].html'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IMDRGFO2\308[1].html'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IMDRGFO2\310[1].html'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LWCVY89Z\267[1].html'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LWCVY89Z\328[1].html'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LWCVY89Z\4[1].html'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NWYD8KSU\267[1].html'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NWYD8KSU\312[1].html'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NWYD8KSU\87[1].html'); DeleteFile('C:\Users\Пользователь\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZI5AL1ZZ\87[1].html'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запро-шенный карантин вверху темы
Скачайте AVZ 4.41, обновите его базы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скрипт выполнил, программу обновил выкладываю новые логи
http://zalil.ru/34730814 - выложил тут не получилось выложить через "управление вложениями"
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
логи после вышеуказанного скрипта
Порядок
Дешифратором для данной модификации пока никто не поделился
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) Avenchik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.