прошу помочь. сталкиваюсь впервые.
прошу помочь. сталкиваюсь впервые.
Уважаемый(ая) Даниил Абалаков, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файлы прикрепил как логи так и зараженный
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Users\HARDWORKER\appdata\roaming\mail.ru newgamest\api.dll',''); QuarantineFile('C:\Users\HARDWORKER\AppData\Local\Microsoft\Windows\system.vbs',''); QuarantineFile('C:\Users\HARDWORKER\AppData\Roaming\runWIN\update.exe',''); QuarantineFile('C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe',''); QuarantineFile('C:\Program Files\Sonata\bin\updater.exe',''); DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','32'); DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yahoo! Search'); DeleteFile('C:\Users\HARDWORKER\AppData\Local\Yandex\YandexBrowser\Application\browser.exe.bat','32'); DeleteFile('C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32'); DeleteFile('C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\HARDWORKER\AppData\Roaming\runWIN\update.exe','32'); DeleteFile('C:\Users\HARDWORKER\AppData\Local\Microsoft\Windows\system.vbs','32'); DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Udpater','32'); DeleteFile('C:\Users\HARDWORKER\appdata\roaming\mail.ru newgamest\api.dll','32'); DeleteFileMask('C:\Users\HARDWORKER\AppData\Roaming\runWIN', '*', true); DeleteDirectory('C:\Users\HARDWORKER\AppData\Roaming\runWIN'); DeleteFileMask('C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT', '*', true); DeleteDirectory('C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте такой лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано
Поместите в карантин МВАМ всё, кроме
Пофиксите в HiJackКод:PUP.Optional.LoadMoney, C:\Users\HARDWORKER\Downloads\balck and white zones (1).exe, , [502631e2cbb13bfb4c013a1d2ed2a858], PUP.Optional.LoadMoney, C:\Users\HARDWORKER\Downloads\pritsel-ot-jove-papki-dzhova-dlya-world-of-tanks.exe, , [52246ea5cab2cf67c18c2a2d68987b85], PUP.Optional.LoadMoney, C:\Users\HARDWORKER\Downloads\balck and white zones.exe, , [c6b021f2d2aaa88e66e75304dc241fe1], PUP.Optional.Opencandy, C:\Users\user\AppData\Roaming\rmi\offer_downloader.exe, , [da9c58bb7efe6fc7becea9e7bf43ff01], PUP.Optional.LoadMoney, C:\Users\user\Desktop\???????°N? ???°?????°\??????N????µ??N?N? ???»?µ???µN? ???µ????\music\bruno_mars_-_it_will_rain_zaycev_net.exe, , [adc99b785f1df2448f74bd9a3bc61ce4], PUP.Optional.LoadMoney, C:\Users\user\Desktop\???????°N? ???°?????°\??????N????µ??N?N? ???»?µ???µN? ???µ????\music\???????°N? ???°?????°\-01bruno_mars_-_it_will_rain_zaycev_net.exe, , [6c0a73a05e1e8aac23e0a1b655ac7a86], Riskware.Crk, C:\Users\user\Desktop\?§?µN????°N? N??»?µN????°\MicrosoftOffice 2010\mini_KMS_Activator_v1.2_Office2010_VL_RUS.exe, , [f77fa76c7507092d14645a93c040c23e], Malware.Packer, C:\Users\user\Downloads\dohodny_tennis_livescore+.exe, , [6f07a76ca8d46acc839d6e800cf89d63], PUP.Optional.OutBrowse, C:\Users\user\Downloads\Instagram Bot - Instastar v 5.23.exe, , [c0b667ac8fedb185af81b6680000c040], PUP.Optional.InstallMonstr, C:\Users\user\Downloads\install_flashplayer11x32_mssa_aaa_aih.exe, , [df97fc17e795db5bb330d6a538c9e31d], PUP.Optional.iDatix, C:\Users\user\Downloads\retro-minimal-party-flyer.zip.exe, , [4135858e88f4b482ee5b69f8c73ae31d], PUP.Optional.NextLive.A, C:\Users\user\Downloads\Mobogenie_Setup_2.2.1_73.exe, , [78fea271a3d9181e2d85670170917888], PUP.Optional.4Shared, C:\Users\user\Downloads\Eat+Pray+Love+2010+BRRip...p+x264+DXVA+AAC-MXMG.exe, , [6214a1727507a88e3367713fff02926e], PUP.Optional.LoadMoney.A, C:\Users\user\Downloads\???????«????\xbox360 fifa 14 pal russound xgd3 lt 3 0 consol-games net skachat igry na psp cherez torrent.exe, , [94e24dc63e3ea4922e84166e956ca25e], PUP.Optional.MediaMagnet.A, C:\Users\user\Downloads\???????«????\Vse_i_srazu.6c2f5 (1).exe, , [b6c07a99fd7f71c5456e384c847de719], PUP.Optional.MediaMagnet.A, C:\Users\user\Downloads\???????«????\Vse_i_srazu.6c2f5.exe, , [dd99040f35471f17af04ccb8ff02f30d], PUP.Optional.LoadMoney.gen, C:\Users\user\Downloads\???????«????\wysiwyg web b 9 4 4 crk.exe, , [0b6b57bcbcc0cf67fa76d2ebd62b6997], PUP.Optional.OpenCandy, C:\Users\user\Downloads\???????«????\flashplayer14_install_win_pi (1).exe, , [7ff7b95a74088bab8265c08405003cc4], PUP.Optional.OpenCandy, C:\Users\user\Downloads\???????«????\flashplayer14_install_win_pi.exe, , [52248c874b3149edad3a87bdca3b28d8], PUP.Optional.InstallCore, C:\Users\user\Downloads\???????«????\HPUSBDisk_inst2.exe, , [6313d53e0478c076f90706b0ae537c84], PUP.Riskware.Patcher, C:\Program Files\WYSIWYG Web Builder 9\patch.exe, , [7402d53e91ebb185a3bc5fc18d74d030], PUP.GameTool, C:\Program Files\ICCup\Launcher\iccwc3.icc, , [c4b249ca3745d75fe3a5f096738d58a8], Malware.Packer, D:\1\???µ??N????? ?? ??????????\dohodny_tennis_livescore+.exe, , [185ede351b613600a57bd01e6e96629e], PUP.RiskwareTool.CK, D:\Downloads\Adobe After Effects CS4 (32 Bit)\Crack\32-bit\amtlib.dll, , [a8ce9e753a42c47276ede1642ed4f10f], PUP.RiskwareTool.CK, D:\Downloads\Adobe After Effects CS4 (32 Bit)\Crack\64-bit\amtlib.dll, , [4e28ff14304ce84e560e4005e71be41c], Trojan.Agent.CK, D:\Downloads\Adobe CS5.1 [2011]\Crack\Keygen.exe, , [43339f744933a88ef0650d7f6d939e62], Malware.Gen, D:\MAKET CleverLand\Photoshop.Extended.CS5.RU\adobe_PS_CS5_keygen\adobe_PS_CS5_keygen.exe, , [492d15feeb91290d9804fc6d8b75cf31],
Удалите папкиКод:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1 O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O4 - HKCU\..\Run: [Encrypt] C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe
УдалитеКод:C:\Users\HARDWORKER\AppData\Roaming\Microsoft DB C:\Users\HARDWORKER\AppData\Roaming\GemWare C:\Users\HARDWORKER\AppData\Roaming\ICL C:\Program Files\Аудио и видео скачивание
Пересоздайте ярлыкиC:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Амиго.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
C:\Users\user\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Амиго.lnk
Напишите ID и Hash, оставленные Вам шифровальщикомC:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Proxy Switcher Standard\Setting Up Mozilla FireFox Tutorial.lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Inte rnet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Proxy Switcher Standard\Setting Up Mozilla FireFox Tutorial.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Proxy Switcher Standard\Setting Up Mozilla FireFox Tutorial.lnk
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Inte rnet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Inte rnet Explorer\Quick Launch\User Pinned\TaskBar\Панель запуска приложений Chrome.lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Wind ows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Wind ows\Start Menu\Programs\Google Chrome\Панель запуска приложений Chrome.lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Wind ows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Wind ows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\HARDWORKER\Desktop\Yandex.lnk
C:\Users\HARDWORKER\Desktop\Панель запуска приложений Chrome.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\users\hardworker\appdata\roaming\mail.ru newgamest\api.dll - Trojan-Ransom.MSIL.Lortok.o ( BitDefender: Trojan.Generic.11947774 )
Уважаемый(ая) Даниил Абалаков, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.