Показано с 1 по 19 из 19.

Файлы, заархивированные в cbf [not-a-virus:RiskTool.Win32.SearchProtect.a, Trojan-PSW.Win32.Ruftar.bcee ] (заявка № 177443)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    8

    Файлы, заархивированные в cbf [not-a-virus:RiskTool.Win32.SearchProtect.a, Trojan-PSW.Win32.Ruftar.bcee ]

    Имена стали примерно такого вида: ydgilortwybdhjloqtvyadfhlnpsvxzdgilnqsuwzbdfi.knq. id-{TVWXZAABCDEEFGHIJJKLMNNOPQRSSTUVWWXY-16.02.2015 10@40@542148274}-email-watnik91@aol....-6.1.0.0.b.cbf

    example.zip - внутри один из зашифрованных документов.
    Лечить компьютер пока не стал.
    Вложения Вложения
    Последний раз редактировалось Дмитрий Мышков; 16.02.2015 в 13:59.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Дмитрий Мышков, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Info_bot получил(а) благодарность за это сообщение от


  5. #3
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    8
    Если нужно произвести лечение, просьба написать.
    Не стал, мало ли - вдруг будет удален антивирем какой-либо файл, который понадобится при попытке восстановить файлы.

  6. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('D:\Users\007\AppData\Local\Temp\Adobe Flash Player\codec.exe','');
     QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll','');
     QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll','');
     DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll','32');
     DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll','32');
     DeleteFile('D:\Users\007\AppData\Local\Temp\Adobe Flash Player\codec.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    O20 - AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. mike 1 получил(а) благодарность за это сообщение от


  8. #5
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    8
    Программа " Farbar Recovery Scan Tool" вылетает при начале сканирования. Лог ею создается, но на сколько он полный, не берусь судить.
    разрядность этой app выбирал, исходя из разрядности своей ОС.

    virus.zip отправил, нажав на ссылку "прислать запрошенный карантин", которая находится в заголовке этой темы, как и просили.

    В евентлогах, при падении FRST, такая ошибка:
    "Загрузка \??\C:\Windows\SysWow64\Drivers\uti3ndy3.sys заблокирована из-за несовместимости с данной системой. Обратитесь к поставщику программного обеспечения за совместимой версией драйвера."

    - - - - -Добавлено - - - - -

    2 mike 1
    Без шансов?
    Вложения Вложения
    Последний раз редактировалось Дмитрий Мышков; 16.02.2015 в 17:35.

  9. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Программа " Farbar Recovery Scan Tool" вылетает при начале сканирования. Лог ею создается, но на сколько он полный, не берусь судить.
    Сделайте скриншот ошибки. Утилита не пишет случайно, что "error line"?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  10. mike 1 получил(а) благодарность за это сообщение от


  11. #7
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    8

    не. она вылетает, не помахав. винда, за нее, рассказывает, что вот так вот все плохо.
    уведомлений потом от винды - евентлог в пред. моем посте:
    "Загрузка \??\C:\Windows\SysWow64\Drivers\uti3ndy3.sys заблокирована из-за несовместимости с данной системой. Обратитесь к поставщику программного обеспечения за совместимой версией драйвера."
    может, нужно прибить предварительно тот sys файл?

  12. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Программу запускаете через контекстное меню проводника от имени Администратора?

    может, нужно прибить предварительно тот sys файл?
    Это драйвер AVZ.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  13. #9
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    8
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Программу запускаете через контекстное меню проводника от имени Администратора?
    Да

    http://www.youtube.com/watch?v=Zdocgv3EE4s&spfreload=10
    Последний раз редактировалось Дмитрий Мышков; 17.02.2015 в 00:32.

  14. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  15. #11
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    8
    Распаковал в отдельный каталог, который был создан на рабочем столе.
    Запустил исполняемый файл от имени администратора.
    Выбрал сканирование за последние три месяца.
    Нажал пуск
    В самом конце сканирования программа вылетела:

  16. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Ну тогда попробуем так.


    Запустите, выберите проверку файлов за последние три месяца и нажмите "Продолжить". Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  17. #13
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    8
    да.

    - - - - -Добавлено - - - - -

    Сделал
    Вложения Вложения
    • Тип файла: txt info.txt (36.4 Кб, 2 просмотров)
    • Тип файла: txt log.txt (27.1 Кб, 4 просмотров)

  18. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Выполните скрипт в AVZ:

    Код:
    Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
    var FS : TFileSearch;
    begin
     ADirName := NormalDir(ADirName);
     FS := TFileSearch.Create(nil);
     FS.FindFirst(ADirName + '*.*');
     while FS.Found do
      begin
        SetStatusBarText(ADirName + FS.FileName);
        if FS.IsDir then
         begin
           if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then
             ScanDir(ADirName + FS.FileName, AScanSubDir)
         end
        else
          AddToLog(ADirName + FS.FileName + '__MD5= ' + CalkFileMD5(ADirName + FS.FileName)+ '__Size= '+ IntToStr(GetFileSize(ADirName + FS.FileName)));
    
        FS.FindNext;
      end;
     FS.Free;
    end;
    
    begin
     ClearLog;
     ScanDir('C:\Program Files (x86)\Adobe Flash Player', true);
     ScanDir('C:\Program Files (x86)\Письмо', true);
     SaveLog(GetAVZDirectory + 'MD5&Size.txt');
    end.
    прикрепите файл MD5&Size.txt из папки с AVZ.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  19. #15
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    8
    Сделал

    - - - - -Добавлено - - - - -

    Прикрепил файл MD5&Size.txt из папки с AVZ.
    Вложения Вложения

  20. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    C:\Program Files (x86)\Adobe Flash Player
    C:\Program Files (x86)\Письмо
    Папки удаляйте. С расшифровкой не поможем. Обязательно смените все пароли.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  21. #17
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    8
    Все равно, Спасибо за помощь.
    Не знаете, кто-нибудь вообще может помочь с этим вопросом? Помимо dr. web. те, пока им ключ шифрования не дашь, отказываются.

  22. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    Цитата Сообщение от Дмитрий Мышков Посмотреть сообщение
    Все равно, Спасибо за помощь.
    Не знаете, кто-нибудь вообще может помочь с этим вопросом? Помимо dr. web. те, пока им ключ шифрования не дашь, отказываются.
    Посмотрите эту http://virusinfo.info/showthread.php?t=176901 тему.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  23. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,525
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\progra~2\searchprotect\searchprotect\bin\vc32lo ader.dll - not-a-virus:RiskTool.Win32.SearchProtect.a ( BitDefender: Application.SearchProtect.AG )
      2. c:\progra~2\searchprotect\searchprotect\bin\vc64lo ader.dll - not-a-virus:RiskTool.Win32.SearchProtect.a ( BitDefender: Application.SearchProtect.AF )
      3. d:\users\007\appdata\local\temp\adobe flash player\codec.exe - Trojan-PSW.Win32.Ruftar.bcee

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Дмитрий Мышков, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 13
      Последнее сообщение: 07.02.2015, 19:18
    2. Ответов: 4
      Последнее сообщение: 23.01.2015, 13:15
    3. Ответов: 9
      Последнее сообщение: 17.07.2014, 22:25
    4. Ответов: 7
      Последнее сообщение: 15.08.2013, 15:36
    5. Ответов: 7
      Последнее сообщение: 22.07.2013, 19:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00896 seconds with 22 queries