Здравствуйте! Помогите, пожалуйста. Пользовательница ткнулась по какой-то ссылке в инете, подцепила вирус. Нагадила не только себе, но и куче коллег, т.к. имела доступ к сетевой папке.
Здравствуйте! Помогите, пожалуйста. Пользовательница ткнулась по какой-то ссылке в инете, подцепила вирус. Нагадила не только себе, но и куче коллег, т.к. имела доступ к сетевой папке.
Уважаемый(ая) Ihsahn, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте! Бекапы нужно делать, чтобы потом не пришлось платить деньги за расшифровку.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Documents and Settings\Tenkovskaya_EV\Главное меню\Программы\Автозагрузка\36D.tmp',''); QuarantineFile('C:\Documents and Settings\Tenkovskaya_EV\Local Settings\Application Data\PriceMeter\pricemeterw.exe',''); QuarantineFile('C:\Documents and Settings\Tenkovskaya_EV\Application Data\eTranslator\eTranslator.exe',''); QuarantineFile('C:\Documents and Settings\Tenkovskaya_EV\Application Data\MaxDownload\Updater.exe',''); DeleteFile('C:\Documents and Settings\Tenkovskaya_EV\Application Data\MaxDownload\Updater.exe','32'); DeleteFile('C:\Documents and Settings\Tenkovskaya_EV\Application Data\eTranslator\eTranslator.exe','32'); DeleteFile('C:\Documents and Settings\Tenkovskaya_EV\Local Settings\Application Data\PriceMeter\pricemeterw.exe','32'); DeleteFile('C:\Documents and Settings\Tenkovskaya_EV\Главное меню\Программы\Автозагрузка\36D.tmp','32'); DeleteFile('C:\WINDOWS\Tasks\pricemetertask.job','32'); DeleteFile('C:\WINDOWS\Tasks\pricemeterwatcher.job','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1247955280-1618106126-315576832-1085\Software\Microsoft\Windows\CurrentVersion\Run','MaxDownload'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1247955280-1618106126-315576832-1085\Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1247955280-1618106126-315576832-1085\Software\Microsoft\Windows\CurrentVersion\Run','PriceMeterW'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:O4 - S-1-5-21-1247955280-1618106126-315576832-1085 Startup: 36D.tmp (User 'Tenkovskaya_EV') O4 - S-1-5-21-1247955280-1618106126-315576832-1085 Startup: foxmail.bmp (User 'Tenkovskaya_EV') O4 - S-1-5-21-1247955280-1618106126-315576832-1085 User Startup: 36D.tmp (User 'Tenkovskaya_EV') O4 - S-1-5-21-1247955280-1618106126-315576832-1085 User Startup: foxmail.bmp (User 'Tenkovskaya_EV')
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
- - - - -Добавлено - - - - -
Ссылка сохранилась?Пользовательница ткнулась по какой-то ссылке в инете, подцепила вирус
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Здравствуйте!
Эх, ваши б слова, да нашим преподавателям в уши. Я здесь, к сожалению, не отвечаю за сервера и бэкапы на них, так что ничего сказать по этому поводу не могу...Бекапы нужно делать, чтобы потом не пришлось платить деньги за расшифровку.
Вроде бы все сделал по инструкции, но эти строчки никуда не деваются...Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Прикрепляю файлы
Мы тут порылись в истории установленного пользователем браузера Амиго (sic!). Высылаю текстовый файл со ссылками за период, предположительно в который и был заражён компьютер. Подозреваю, что последняя ссылка и есть та самая...Ссылка сохранилась?
- - - - -Добавлено - - - - -
Первый раз при выполнении программа FRST вылетела с ошибкой где-то на середине сканирования. К сожалению, отчет об ошибке я не сохранил. Выключил браузер, антивирус, запустил во второй раз. Вроде бы все получилось:[*]После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
Код:HKU\S-1-5-21-1247955280-1618106126-315576832-1085\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=42920120fa5d54dbd0d6e6426868a916&text={searchTerms} HKU\S-1-5-21-1247955280-1618106126-315576832-1085\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=42920120fa5d54dbd0d6e6426868a916&text={searchTerms} URLSearchHook: HKU\S-1-5-21-1247955280-1618106126-315576832-1085 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File SearchScopes: HKU\S-1-5-21-1247955280-1618106126-315576832-1085 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=42920120fa5d54dbd0d6e6426868a916&text={searchTerms} SearchScopes: HKU\S-1-5-21-1247955280-1618106126-315576832-1085 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=42920120fa5d54dbd0d6e6426868a916&text={searchTerms} SearchScopes: HKU\S-1-5-21-1247955280-1618106126-315576832-1085 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=42920120fa5d54dbd0d6e6426868a916&text= 2014-11-21 11:53 - 2014-11-21 11:54 - 00000000 ____D () C:\Documents and Settings\Tenkovskaya_EV\Application Data\eTranslator C:\Documents and Settings\Tenkovskaya_EV\Главное меню\Программы\Автозагрузка\36D.tmp C:\Documents and Settings\Tenkovskaya_EV\Local Settings\Application Data\PriceMeter Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Приветствую!
Aye-aye, sir![*]Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыC:\FRST\Quarantine\Documents and Settings\Tenkovskaya_EV\Главное меню\Программы\Автозагрузка\36D.tmp
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Приветствую!
К сожалению, не могу прислать карантин по инструкции:
В процессе добавления файла в карантин по списку AVZ пишет:Приложение 1. Поиск файлов при помощи AVZ.
Запустите AVZ, выберите в меню "Файл" - "Добавление в карантин по списку".
В верхнем окне введите список файлов которые Вас просили прислать.
Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
Закройте текущее окно "Добавление в карантин по списку"
Приложение 2. Как прислать запрошенные файлы.
Запустите AVZ, выберите в меню "Файл" -> "Просмотр карантина".
Справа в списке файлов отметьте те файлы, которые нужно выслать.
Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранен архив. Настоятельно рекомендуется принимать название файла по умолчанию, т.е. virus.zip.
Загрузите полученный архив, используя ссылку на страницу загрузки (Прислать запрошенный карантин) в шапке Вашей темы.
AVZ запущен из-под учетки пользователя, поднятого в правах до администратора (временно).Ошибка карантина файла, попытка прямого чтения (C:\FRST\Quarantine\C\Documents and Settings\Tenkovskaya_EV\Главное)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (меню\Программы\Автозагрузка\36D.tmp.xBAD)
Карантин с использованием прямого чтения - ошибка
Кроме того, сам файл имеет расширение .xBAD, а не .tmp. В принципе, я могу сам заархивировать этот файл 7-zip-ом с паролем virus и выслать по ссылке "прислать карантин". Сделать так?
Лог UVS высылаю:
Сделайте.В принципе, я могу сам заархивировать этот файл 7-zip-ом с паролем virus и выслать по ссылке "прислать карантин". Сделать так?
Выполните скрипт в uVS:
Компьютер перезагрузится. На запросы удаления программ соглашайтесь.Код:;uVS v3.85 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c breg delref HTTP:\\SEARCHAIM.RU exec "C:\Documents and Settings\Tenkovskaya_EV\Local Settings\Application Data\PriceMeter\uninst.exe" /uninstall exec C:\Documents and Settings\Tenkovskaya_EV\Application Data\PriceMeterUpdater\UpdateProc\UpdateTask.exe /Uninstall uidel "C:\Documents and Settings\Tenkovskaya_EV\Local Settings\Application Data\PriceMeter\uninst.exe" /uninstall uidel C:\Documents and Settings\Tenkovskaya_EV\Application Data\PriceMeterUpdater\UpdateProc\UpdateTask.exe /Uninstall regt 29 restart
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Приветствую вас!
Высылаю.Сделайте.
Эмм... Выполнил. Только никакие программы не удалялись в процессе. Или, по крайней мере, меня не уведомляли. И архив с именем ZOO* тоже не появился. Прикладываю лог, полученный после обработки скрипта:Выполните скрипт в uVS:
Компьютер перезагрузится. На запросы удаления программ соглашайтесь.
- - - - -Добавлено - - - - -
Кстати, а все, что мы с вами вот сейчас здесь делаем - ну, т.е., вы даёте инструкции, а я их выполняю и посылаю отчеты - это для расшифровки файлов или для удаления вредоносного кода с компа? Поскольку пользователей интересуют только их файлы, а систему мы, в общем-то, переустановить можем...
Это ж обычная пользовательская машинка, не сервак какой-нибудь...
С расшифровкой помочь не сможем, т.к. версия у вас свеженькая для которой нет пока дешифраторов.Поскольку пользователей интересуют только их файлы
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- \36d.tmp.xbad - Trojan.Win32.VB.ctqz ( AVAST4: Win32:Malware-gen )
Уважаемый(ая) Ihsahn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.