Здравствуйте! Проблема заключается в том, что неизвестный вирус зашифровал практически все файлы на компьютере. Kaspersky Endpoint Security 10 после полной проверки угроз не обнаружил. Как решить эту проблему? Помогите пожалуйста! Необходимые для анализа скрипты приложены к письму. Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Anton Sergeevich, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\Вика\appdata\roaming\flash\cgminer-nogpu.exe','');
QuarantineFile('C:\Users\4600~1\AppData\Local\Temp\8898609','');
QuarantineFileF('C:\Users\Вика\appdata\roaming\flash', '*', true, ' ', 0, 0);
DeleteFile('C:\Windows\Tasks\At1.job','32');
DeleteFile('C:\Users\4600~1\AppData\Local\Temp\8898609','32');
DeleteFile('C:\Users\Вика\appdata\roaming\flash\cgminer-nogpu.exe','32');
DeleteFileMask('C:\Users\Вика\appdata\roaming\flash', '*', true, ' ');
DeleteDirectory('C:\Users\Вика\appdata\roaming\flash');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные модули в памяти: 1
C:\Users\Вика\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Действие не было предпринято.
Обнаруженные ключи в реестре: 4
HKCU\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 4
HKCU\SOFTWARE\DealPly|Partner (PUP.Optional.DealPly.A) -> Параметры: iron -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|NextLive (PUP.Optional.NextLive.A) -> Параметры: C:\Windows\system32\rundll32.exe "C:\Users\Вика\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0M1S1H1K2U -> Действие не было предпринято.
HKLM\SOFTWARE\DealPly|ChromeCrxPath (PUP.Optional.DealPly.A) -> Параметры: C:\Program Files\DealPly\DealPly.crx -> Действие не было предпринято.
Обнаруженные папки: 7
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\Users\Вика\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\Вика\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\Вика\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Вика\AppData\Roaming\newnext.me\cache (PUP.Optional.NextLive.A) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Program Files\DealPly\DealPlyUpdate.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\Program Files\DealPly\DealPlyUpdateRun.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\Users\Вика\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BENE509M\312[1].html (Trojan.Filelock) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\Uninstall DealPly.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\Users\Вика\AppData\Roaming\closer.exe (PUP.Optional.Smilapp) -> Действие не было предпринято.
C:\Users\Вика\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Вика\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\Вика\AppData\Roaming\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Вика\AppData\Roaming\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: