Файлы получили расширения [email protected]_lot2014

[Snowball86]

Доброго времени суток. Все файлы Jpg, pdf, xml, doc может ещё какие поменяли расширение на [email protected]_lot2014. Например DSC00058.jpg стал [email protected]_lot2014. Может, кто сталкивался, подскажите пожалуйста.

[Info_bot]

Уважаемый(ая) Snowball86, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('e:\docume~1\pekarek\locals~1\temp\~dmp25592.tmp.exe');
 QuarantineFileF('E:\Documents and Settings\Pekarek\Application Data\Fahuli', '*', true, ' ', 0, 0);   
 QuarantineFile('E:\WINDOWS.0\system32\service.exe','');
 QuarantineFile('E:\Documents and Settings\Pekarek\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe','');
 QuarantineFile('E:\Documents and Settings\Pekarek\Local Settings\Application Data\Microsoft\Windows\winupdate.exe','');
 QuarantineFile('E:\Documents and Settings\Pekarek\Local Settings\Application Data\Google\Update\gupdate.exe','');
 QuarantineFile('E:\Documents and Settings\Pekarek\Application Data\Fahuli\yrvoq.exe','');
 QuarantineFile('E:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msteaaaay.pif','');
 QuarantineFile('e:\docume~1\pekarek\locals~1\temp\~dmp25592.tmp.exe','');
 DeleteFile('E:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msteaaaay.pif','32');
 DeleteFile('E:\Documents and Settings\Pekarek\Application Data\Fahuli\yrvoq.exe','32');
 DeleteFile('E:\Documents and Settings\Pekarek\Local Settings\Application Data\Google\Update\gupdate.exe','32');
 DeleteFile('E:\Documents and Settings\Pekarek\Local Settings\Application Data\Microsoft\Windows\winupdate.exe','32');
 DeleteFile('E:\Documents and Settings\Pekarek\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe','32');
 DeleteFile('E:\DOCUME~1\Pekarek\LOCALS~1\Temp\~dmp25592.tmp.exe','32');
 DeleteFile('E:\WINDOWS.0\Tasks\ade438r41.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','6976');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{AD1146ED-096C-177E-5F6F-B102C4C695F2}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService');
 DeleteFileMask('E:\Documents and Settings\Pekarek\Application Data\Fahuli', '*', true, ' ');
 DeleteDirectory('E:\Documents and Settings\Pekarek\Application Data\Fahuli');     
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O4 - HKCU\..\Run: [NvUpdService] E:\Documents and Settings\Pekarek\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe /app 395D32CC4C6C11743C37D76783B66ADC
O4 - HKCU\..\Run: [Google Update] E:\Documents and Settings\Pekarek\Local Settings\Application Data\Google\Update\gupdate.exe /app 395D32CC4C6C11743C37D76783B66ADC
O4 - HKCU\..\Run: [{AD1146ED-096C-177E-5F6F-B102C4C695F2}] "E:\Documents and Settings\Pekarek\Application Data\Fahuli\yrvoq.exe"
O4 - HKLM\..\Policies\Explorer\Run: [6976] E:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msteaaaay.pif
O4 - Startup: winupdate.lnk = E:\Documents and Settings\Pekarek\Local Settings\Application Data\Microsoft\Windows\winupdate.exe

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Snowball86]

вот сделал как вы и просили

[mike 1]

В MBAM удалите все кроме:

Код:

Обнаруженные файлы:
E:\Documents and Settings\Pekarek\Мои документы\Downloads\MediaGet_id4100357ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
G:\WINDOWS.1\system32\CPLBonus\pkey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
G:\Новая папка\Patch\Patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
G:\Dowloads 2010\Portable Multi Password Recovery\UpdateChecker.exe (Riskware.MPR) -> Действие не было предпринято.
G:\music2\Winrar 4.65 Full.exe (Spyware.Agent) -> Действие не было предпринято.
G:\music2\winamp5621_full_emusic-7plus_all.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
G:\Program Files\ABBYY FineReader 10\10.0.102.109N.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
G:\Program Files\Microsoft Office\KMS\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято.
G:\Program Files\MixMeister Fusion\Patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
G:\WINDOWS.0\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
G:\games\Angry Birds Seasons 241\angry.birds.all-patch.offline.v1.2.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
G:\games\AngryBirdsSpace\angry.birds.all-patch.offline.v1.2.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
G:\Downloads 2014\01\Adobe.Photoshop.CS6.v13.0.Pre.Release.Incl.Keymaker_CORE(ENG)\keygen.exe (Trojan.Agent) -> Действие не было предпринято.
G:\Downloads 2014\01\Adobe.Photoshop.CS6.v13.0.Pre.Release.Incl.Keymaker_CORE(ENG)\crack PS CS6\crack\x64\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято.
G:\Downloads 2014\01\Adobe.Photoshop.CS6.v13.0.Pre.Release.Incl.Keymaker_CORE(ENG)\crack PS CS6\crack\x86\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято.
G:\WINDOWS\Cleanup.exe (Trojan.Dropped) -> Действие не было предпринято.
G:\WINDOWS\system32\hidcon.exe (Trojan.Dropped) -> Действие не было предпринято.
G:\WINDOWS\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
E:\WINDOWS.0\system32\service.exe (Backdoor.Bot) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[Snowball86]

Всё удалил, как было сказано. Вот лог

[regist]

Код:

G:\WINDOWS\Cleanup.exe
E:\WINDOWS.0\system32\service.exe

Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

файлы

Код:

E:\Documents and Settings\Pekarek\Мои документы\Downloads\MediaGet_id4100357ids1s.exe 
G:\music2\Winrar 4.65 Full.exe

рекомендую удалить, тем более winrar актуальная версия 5.01

[Snowball86]

Файлы удалил, тем более устаревшие.)))))) А как в карантин послать не могу понять, там архив просит. Мне заархивировать G:\WINDOWS\Cleanup.exe
E:\WINDOWS.0\system32\service.exe или как? я немного не понял.

[regist]

А как в карантин послать не могу понять,

http://virusinfo.info/content.php?r=136-pravila
раздел приложения 1 и 2 прочтите.

- - - Добавлено - - -

Либо выполните скрипт AVZ

Код:

begin
 QuarantineFile('G:\WINDOWS\Cleanup.exe','');
 QuarantineFile('E:\WINDOWS.0\system32\service.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');   
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

Если G:\, E:\ - внешние диски, то на время выполнения скрипта подключите их.

[Snowball86]

Всё сделал, какрантин отправил.

[Snowball86]

Дальше то что делать?

[mike 1]

Этот E:\WINDOWS.0\system32\service.exe файл удалите.

Дешифратором для этой версии пока никто не поделился.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 17
• В ходе лечения вредоносные программы в карантинах не обнаружены