Добрый день!<br>Возникла проблема, при открытии письма пользователем,, почтовый клиент Thunderbird, система Windows XP.<br>Далее все файлы на компьютере зашифровались и стали с расширением .cbf.<br>Производилась проверка Kaspersky и Dr.Web. Не помогло(
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) SlavikSpB, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe');
SetServiceStart('WindowsMangerProtect', 4);
StopService('WindowsMangerProtect');
QuarantineFile('C:\Program Files\tftpd32\tftpd32.exe','');
QuarantineFile('C:\DOCUME~1\bychkov\LOCALS~1\Temp\109254140aq','');
QuarantineFile('C:\temp\job_manage.cmd','');
QuarantineFile('c:\program files\tactical software\serialip\serialiptray.exe','');
QuarantineFile('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe','');
QuarantineFile('c:\program files\rander\server\srv_service.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect\ProtectWindowsManager.exe','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
DeleteFile('C:\DOCUME~1\bychkov\LOCALS~1\Temp\109254140aq','32');
DeleteService('WindowsMangerProtect');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(13);
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-112014988-3743839099-1866375794-21442 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
CHR Extension: (Info Enhancer for Chrome) - C:\Documents and Settings\bychkov\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2014-11-18]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\bychkov\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2014-12-10]
CHR HKLM\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - No Path
CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path
2015-01-12 09:04 - 2015-01-12 09:04 - 00000687 _____ () C:\awhE.tmp
2015-01-11 13:55 - 2015-01-11 13:55 - 00000687 _____ () C:\awh2BED.tmp
Folder: C:\Program Files\1
Folder: C:\Program Files\Ross nii inform
Folder: C:\Documents and Settings\bychkov\Application Data\30555
2015-01-13 08:52 - 2014-11-18 09:58 - 00000000 ____D () C:\Documents and Settings\bychkov\Application Data\sweet-page
C:\Documents and Settings\bychkov\an.bat
C:\Documents and Settings\bychkov\iperf.exe
C:\Documents and Settings\bychkov\sd.bat
C:\WINDOWS\Tasks\At2.job
Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\bychkov\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: