Показано с 1 по 19 из 19.

зашифрованы файлы "XTBL" + XTab. (заявка № 178005)

  1. #1
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    17
    Вес репутации
    38

    зашифрованы файлы "XTBL" + XTab.

    Здравствуйте, помогите пожалуйста.
    Примерно с 21.02.2015г. на рабочем столе появилось сообщение

    "Все важные файлы на всех дисках вашего компь.тера были зашифрованы. Подробности вы можете прочитать в файлах Readme.txt, которые можно найти на любом из дисков."

    Текст Readme
    "Ваши файлы были зашифрованны, чтобы расшифровать их ввам необходимо отправить код.
    F6B4F3ACE37572159E82|0 на электронный адрес [email protected] или [email protected]"

    Readme.txt при копировании на флешку заражены "Win32/Filecoder.ED троянская программа" (nod 32).

    лог файл с avz и hijackthis прилагается.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Adabao, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте! Так засрать себе компьютер еще нужно очень постараться.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     TerminateProcessByName('c:\program files (x86)\ytdownloader\ytdownloader.exe');
     TerminateProcessByName('c:\program files (x86)\framed display\updateframeddisplay.exe');
     TerminateProcessByName('c:\users\Максим-07\appdata\roaming\softwareupdater\susrv.exe');
     TerminateProcessByName('c:\users\Максим-07\appdata\local\smartweb\smartwebhelper.exe');
     TerminateProcessByName('c:\users\Максим-07\appdata\local\smartweb\smartwebapp.exe');
     TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
     TerminateProcessByName('c:\programdata\ecbaef90-5696-41e1-a1c3-3e8112ce2840\maintainer.exe');
     TerminateProcessByName('c:\program files (x86)\shopperpro\jsdriver\1489.0.0.0\jsdrv.exe');
     TerminateProcessByName('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.PurBrowse64.exe');
     TerminateProcessByName('c:\program files (x86)\framed display\bin\frameddisplay.expext.exe');
     TerminateProcessByName('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.BrowserAdapter64.exe');
     TerminateProcessByName('c:\program files (x86)\framed display\bin\frameddisplay.browseradapter.exe');
     TerminateProcessByName('c:\program files (x86)\framed display\bin\frameddisplay.boashelper.exe');
     TerminateProcessByName('c:\program files (x86)\torrent search\basement\extensionupdaterservice.exe');
     TerminateProcessByName('c:\users\Максим-07\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrlte.exe');
     TerminateProcessByName('c:\programdata\windows\csrss.exe');
     TerminateProcessByName('c:\program files (x86)\xtab\cmdshell.exe');
     SetServiceStart('{cd63c300-b231-4a93-a479-5a1e96976d74}w64', 4);
     SetServiceStart('{b30c55f2-a940-4907-8051-f13c9acdacdd}w64', 4);
     SetServiceStart('{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64', 4);
     SetServiceStart('{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64', 4);
     SetServiceStart('{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64', 4);
     SetServiceStart('{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64', 4);
     SetServiceStart('{6db7eb66-a30b-41a3-809c-addb2341dafb}w64', 4);
     SetServiceStart('{5f0f49f4-526a-4e0c-b198-a0742c879601}w64', 4);
     SetServiceStart('{29302da5-1178-40ac-a178-4cb57ebcc501}w64', 4);
     SetServiceStart('{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64', 4);
     SetServiceStart('{2859046f-5dca-482a-8c2d-37943d33a392}w64', 4);
     SetServiceStart('SPDRIVER_1489.0.0.0', 4);
     SetServiceStart('sbmntr', 4);
     SetServiceStart('WindowsMangerProtect', 4);
     SetServiceStart('Util Framed Display', 4);
     SetServiceStart('Update Service for Torrent Search', 4);
     SetServiceStart('Update Framed Display', 4);
     SetServiceStart('serversu', 4);
     SetServiceStart('MaintainerSvc1.92.5302915', 4);
     StopService('{cd63c300-b231-4a93-a479-5a1e96976d74}w64');
     StopService('{b30c55f2-a940-4907-8051-f13c9acdacdd}w64');
     StopService('{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64');
     StopService('{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64');
     StopService('{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64');
     StopService('{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64');
     StopService('{6db7eb66-a30b-41a3-809c-addb2341dafb}w64');
     StopService('{5f0f49f4-526a-4e0c-b198-a0742c879601}w64');
     StopService('{29302da5-1178-40ac-a178-4cb57ebcc501}w64');
     StopService('{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64');
     StopService('{2859046f-5dca-482a-8c2d-37943d33a392}w64');
     StopService('SPDRIVER_1489.0.0.0');
     StopService('sbmntr');
     StopService('WindowsMangerProtect');
     StopService('Util Framed Display');
     StopService('Update Service for Torrent Search');
     StopService('Update Framed Display');
     StopService('serversu');
     StopService('MaintainerSvc1.92.5302915');
     QuarantineFile('C:\Program Files (x86)\SaverAdDoN\l2VjeaAexWjd8N.dll','');
     QuarantineFile('C:\ProgramData\sAvINSihOpi\jZYr3MTDlnx3WQ.dll','');
     QuarantineFile('C:\ProgramData\toOOpddeal\8yFVsq6sBcGb2M.dll','');
     QuarantineFile('C:\ProgramData\FinieeDealSoft\zlsQhUZDLPR1Dd.dll','');
     QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll','');
     QuarantineFile('C:\ProgramData\ruealdeaal\o9PMTvnYyaxUmE.dll','');
     QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll','');
     QuarantineFile('C:\Program Files (x86)\Torrent Search\Toolbar32.dll','');
     QuarantineFile('C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\Browsers\exe.resworb.bat','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\Browsers\exe.erolpxei.bat','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\Browsers\exe.emorhc.bat','');
     QuarantineFile('C:\PROGRA~3\INTERE~1\INTERE~2.DLL','');
     QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','');
     QuarantineFile('C:\Windows\system32\drivers\{dda91daf-e6f8-4453-88d1-df18d861c904}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{cd63c300-b231-4a93-a479-5a1e96976d74}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{b30c55f2-a940-4907-8051-f13c9acdacdd}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{6db7eb66-a30b-41a3-809c-addb2341dafb}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{5f0f49f4-526a-4e0c-b198-a0742c879601}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{2859046f-5dca-482a-8c2d-37943d33a392}w64.sys','');
     QuarantineFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys','');
     QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1489.0.0.0\jsdrv.sys','');
     QuarantineFile('c:\progra~3\intere~1\intere~1.dll','');
     QuarantineFile('c:\progra~3\intere~1\InterenetOptimizerSvc.dll','');
     QuarantineFile('c:\program files (x86)\ytdownloader\ytdownloader.exe','');
     QuarantineFile('c:\program files (x86)\framed display\bin\utilframeddisplay.exe','');
     QuarantineFile('c:\program files (x86)\framed display\updateframeddisplay.exe','');
     QuarantineFile('c:\users\Максим-07\appdata\roaming\softwareupdater\susrv.exe','');
     QuarantineFile('c:\users\Максим-07\appdata\local\smartweb\smartwebhelper.exe','');
     QuarantineFile('c:\users\Максим-07\appdata\local\smartweb\smartwebapp.exe','');
     QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
     QuarantineFile('c:\programdata\ecbaef90-5696-41e1-a1c3-3e8112ce2840\maintainer.exe','');
     QuarantineFile('c:\program files (x86)\shopperpro\jsdriver\1489.0.0.0\jsdrv.exe','');
     QuarantineFile('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.PurBrowse64.exe','');
     QuarantineFile('c:\program files (x86)\framed display\bin\frameddisplay.expext.exe','');
     QuarantineFile('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.BrowserAdapter64.exe','');
     QuarantineFile('c:\program files (x86)\framed display\bin\frameddisplay.browseradapter.exe','');
     QuarantineFile('c:\program files (x86)\framed display\bin\frameddisplay.boashelper.exe','');
     QuarantineFile('c:\program files (x86)\torrent search\basement\extensionupdaterservice.exe','');
     QuarantineFile('c:\users\Максим-07\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrlte.exe','');
     QuarantineFile('c:\programdata\windows\csrss.exe','');
     QuarantineFile('c:\program files (x86)\xtab\cmdshell.exe','');
     DeleteFile('c:\program files (x86)\xtab\cmdshell.exe','32');
     DeleteFile('c:\users\Максим-07\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrlte.exe','32');
     DeleteFile('c:\program files (x86)\framed display\bin\frameddisplay.boashelper.exe','32');
     DeleteFile('c:\program files (x86)\framed display\bin\frameddisplay.browseradapter.exe','32');
     DeleteFile('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.BrowserAdapter64.exe','32');
     DeleteFile('c:\program files (x86)\framed display\bin\frameddisplay.expext.exe','32');
     DeleteFile('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.PurBrowse64.exe','32');
     DeleteFile('c:\program files (x86)\shopperpro\jsdriver\1489.0.0.0\jsdrv.exe','32');
     DeleteFile('c:\users\Максим-07\appdata\local\smartweb\smartwebapp.exe','32');
     DeleteFile('c:\users\Максим-07\appdata\local\smartweb\smartwebhelper.exe','32');
     DeleteFile('c:\program files (x86)\ytdownloader\ytdownloader.exe','32');
     DeleteFile('c:\progra~3\intere~1\InterenetOptimizerSvc.dll','32');
     DeleteFile('c:\progra~3\intere~1\intere~1.dll','32');
     DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1489.0.0.0\jsdrv.sys','32');
     DeleteFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{2859046f-5dca-482a-8c2d-37943d33a392}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{5f0f49f4-526a-4e0c-b198-a0742c879601}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{6db7eb66-a30b-41a3-809c-addb2341dafb}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{b30c55f2-a940-4907-8051-f13c9acdacdd}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{cd63c300-b231-4a93-a479-5a1e96976d74}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{dda91daf-e6f8-4453-88d1-df18d861c904}w64.sys','32');
     DeleteFile('C:\ProgramData\ecbaef90-5696-41e1-a1c3-3e8112ce2840\maintainer.exe','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\SoftwareUpdater\SUsrv.exe','32');
     DeleteFile('C:\Program Files (x86)\Framed Display\updateFramedDisplay.exe','32');
     DeleteFile('C:\Program Files (x86)\Torrent Search\Basement\ExtensionUpdaterService.exe','32');
     DeleteFile('C:\Program Files (x86)\Framed Display\bin\utilFramedDisplay.exe','32');
     DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
     DeleteFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','32');
     DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
     DeleteFile('C:\PROGRA~3\INTERE~1\INTERE~2.DLL','32');
     DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\Browsers\exe.emorhc.bat','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\Browsers\exe.resworb.bat','32');
     DeleteFile('C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll','32');
     DeleteFile('C:\Program Files (x86)\Torrent Search\Toolbar32.dll','32');
     DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
     DeleteFile('C:\ProgramData\ruealdeaal\o9PMTvnYyaxUmE.dll','32');
     DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32');
     DeleteFile('C:\ProgramData\FinieeDealSoft\zlsQhUZDLPR1Dd.dll','32');
     DeleteFile('C:\ProgramData\toOOpddeal\8yFVsq6sBcGb2M.dll','32');
     DeleteFile('C:\ProgramData\sAvINSihOpi\jZYr3MTDlnx3WQ.dll','32');
     DeleteFile('C:\Program Files (x86)\SaverAdDoN\l2VjeaAexWjd8N.dll','32');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-1-6.job','64');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-1-7.job','64');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-11.job','64');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-4.job','64');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-5.job','64');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-5_user.job','64');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-6.job','64');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-7.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-1-6.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-1-7.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-11.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-4.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-5.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-5_user.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-6.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-7.job','64');
     DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
     DeleteFile('C:\Windows\Tasks\FVDDSMB.job','64');
     DeleteFile('C:\Windows\Tasks\FWbYRZC5HeJDmsSkniNffUEyB.job','64');
     DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64');
     DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64');
     DeleteFile('C:\Windows\Tasks\HMXS.job','64');
     DeleteFile('C:\Windows\Tasks\INYW.job','64');
     DeleteFile('C:\Windows\Tasks\LBJF.job','64');
     DeleteFile('C:\Windows\Tasks\NIYUU.job','64');
     DeleteFile('C:\Windows\Tasks\RETVD.job','64');
     DeleteFile('C:\Windows\Tasks\s2EIvkJa8G0FooxH3V.job','64');
     DeleteFile('C:\Windows\system32\Tasks\$crrUnisntlDsply$','64');
     DeleteFile('C:\Windows\system32\Tasks\$crrUnisntlDsply$ Updater','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-1-6','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-1-7','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-11','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-4','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-5','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-6','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-7','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-1-6','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-1-7','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-11','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-4','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-5','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-6','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-7','64');
     DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
     DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
     DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
     DeleteFile('C:\Windows\system32\Tasks\DoctorPC_Popup','64');
     DeleteFile('C:\Windows\system32\Tasks\DoctorPC_Start','64');
     DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
     DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
     DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','64');
     DeleteFile('C:\Windows\system32\Tasks\SMupdate1','64');
     DeleteFile('C:\Windows\system32\Tasks\SPDriver','64');
     DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search','64');
     DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Updater','64');
     DeleteFile('C:\Windows\system32\Tasks\YTDownloader','64');
     DeleteFile('C:\Windows\system32\Tasks\YTDownloaderUpd','64');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SPDriver');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SPDriver');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yahoo! Search');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
     DeleteService('BAPIDRV');
     DeleteService('{cd63c300-b231-4a93-a479-5a1e96976d74}w64');
     DeleteService('{b30c55f2-a940-4907-8051-f13c9acdacdd}w64');
     DeleteService('{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64');
     DeleteService('{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64');
     DeleteService('{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64');
     DeleteService('{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64');
     DeleteService('{6db7eb66-a30b-41a3-809c-addb2341dafb}w64');
     DeleteService('{5f0f49f4-526a-4e0c-b198-a0742c879601}w64');
     DeleteService('{29302da5-1178-40ac-a178-4cb57ebcc501}w64');
     DeleteService('{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64');
     DeleteService('{2859046f-5dca-482a-8c2d-37943d33a392}w64');
     DeleteService('SPDRIVER_1489.0.0.0');
     DeleteService('sbmntr');
     DeleteService('globalUpdatem');
     DeleteService('globalUpdate');
     DeleteService('WindowsMangerProtect');
     DeleteService('Util Framed Display');
     DeleteService('Update Service for Torrent Search');
     DeleteService('Update Framed Display');
     DeleteService('serversu');
     DeleteService('MaintainerSvc1.92.5302915');  
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422766262&from=obw&uid=HitachiXHDS721050CLA362_JP1570HR2E948K2E948KX
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422766262&from=obw&uid=HitachiXHDS721050CLA362_JP1570HR2E948K2E948KX&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422766262&from=obw&uid=HitachiXHDS721050CLA362_JP1570HR2E948K2E948KX&q={searchTerms}
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422766262&from=obw&uid=HitachiXHDS721050CLA362_JP1570HR2E948K2E948KX
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422766262&from=obw&uid=HitachiXHDS721050CLA362_JP1570HR2E948K2E948KX
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422766250&from=obw&uid=HitachiXHDS721050CLA362_JP1570HR2E948K2E948KX&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422766250&from=obw&uid=HitachiXHDS721050CLA362_JP1570HR2E948K2E948KX&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422766262&from=obw&uid=HitachiXHDS721050CLA362_JP1570HR2E948K2E948KX
    O2 - BHO: Framed Display 1.0.0.7 - {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} - C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll
    O2 - BHO: Torrent Search - {05EB6920-D8AD-4350-BEF1-4F7107F70431} - C:\Program Files (x86)\Torrent Search\Toolbar32.dll
    O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files (x86)\Ticno\Tabs\TicnoTabsBho111217.dll
    O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\XTab\SupTab.dll
    O2 - BHO: AVdowloads - {36F7560A-C9D2-4427-BF5D-805A48C55783} - C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll
    O2 - BHO: uTorrentControl_v2 - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Users\Максим-07\AppData\LocalLow\uTorrentControl_v2\prxtbuTo0.dll
    O2 - BHO: ruealdeaal - {990d626d-eed3-45ef-a36f-b41af7b5ee4b} - C:\ProgramData\ruealdeaal\o9PMTvnYyaxUmE.dll
    O2 - BHO: ShopperProBHO - {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} - C:\ProgramData\ShopperPro\ShopperPro.dll
    O2 - BHO: FinieeDealSoft - {bf5b345f-c446-408b-b568-e502d9b3e0d3} - C:\ProgramData\FinieeDealSoft\zlsQhUZDLPR1Dd.dll
    O2 - BHO: toOOpddeal - {c5a6646c-f56d-409a-9223-5dc4e8af6d12} - C:\ProgramData\toOOpddeal\8yFVsq6sBcGb2M.dll
    O2 - BHO: sAvINSihOpi - {dc1e491a-b0b3-4c9b-98fe-9592a316bedc} - C:\ProgramData\sAvINSihOpi\jZYr3MTDlnx3WQ.dll
    O2 - BHO: SaverAdDoN - {dd404620-0c63-4df4-b9e4-2a28c288a3e8} - C:\Program Files (x86)\SaverAdDoN\l2VjeaAexWjd8N.dll
    O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
    O3 - Toolbar: uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Users\Максим-07\AppData\LocalLow\uTorrentControl_v2\prxtbuTo0.dll
    O4 - Startup: SmartWeb.lnk = ?
    O4 - Global Startup: Tabs.lnk = C:\Program Files (x86)\Ticno\Tabs\Ticno Tabs.exe
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.

    1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите checkbrowserlnk.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
    5. Прикрепите этот отчет в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. Это понравилось:


  6. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\Максим-07\appdata\roaming\vopackage\vosrv.exe','');
     QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','');
     QuarantineFile('C:\Program Files (x86)\YTDownloader\updater.exe','');
     QuarantineFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','');
     QuarantineFile('C:\Program Files (x86)\ShopperPro\updater.exe','');
     QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll','');
     QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\HMXS.exe','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\INYW.exe','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\LBJF.exe','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\NIYUU.exe','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\RETVD.exe','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\s2EIvkJa8G0FooxH3V.exe','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\FWbYRZC5HeJDmsSkniNffUEyB.exe','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\FVDDSMB.exe','');
     QuarantineFile('C:\Users\-07~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
     QuarantineFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-7.exe','');
     QuarantineFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-6.exe','');
     QuarantineFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-5.exe','');
     QuarantineFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-11.exe','');
     QuarantineFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-4.exe','');
     QuarantineFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-1-7.exe','');
     QuarantineFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-1-6.exe','');
     QuarantineFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-7.exe','');
     QuarantineFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-6.exe','');
     QuarantineFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-5.exe','');
     QuarantineFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-4.exe','');
     QuarantineFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-11.exe','');
     QuarantineFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-1-7.exe','');
     QuarantineFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-1-6.exe','');
     DelBHO('{44627DAE-18B6-4ABC-8B22-13979EDFC56D}');
     QuarantineFile('C:\ProgramData\toOOpddeal\8yFVsq6sBcGb2M.dll','');
     QuarantineFile('C:\ProgramData\sAvINSihOpi\jZYr3MTDlnx3WQ.dll','');
     QuarantineFile('C:\Program Files (x86)\SaverAdDoN\l2VjeaAexWjd8N.dll','');
     DelBHO('{dd404620-0c63-4df4-b9e4-2a28c288a3e8}');
     DelBHO('{dc1e491a-b0b3-4c9b-98fe-9592a316bedc}');
     DelBHO('{c5a6646c-f56d-409a-9223-5dc4e8af6d12}');
     DelBHO('{bf5b345f-c446-408b-b568-e502d9b3e0d3}');
     QuarantineFile('C:\ProgramData\FinieeDealSoft\zlsQhUZDLPR1Dd.dll','');
     DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}');
     DelBHO('{990d626d-eed3-45ef-a36f-b41af7b5ee4b}');
     QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll','');
     QuarantineFile('C:\ProgramData\ruealdeaal\o9PMTvnYyaxUmE.dll','');
     QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll','');
     DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
     DelBHO('{05EB6920-D8AD-4350-BEF1-4F7107F70431}');
     QuarantineFile('C:\Program Files (x86)\Torrent Search\Toolbar32.dll','');
     DelBHO('{05b5ef3f-4c6a-426e-b77e-48ebb3e721f1}');
     QuarantineFile('C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\Browsers\exe.resworb.bat','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\Browsers\exe.erolpxei.bat','');
     QuarantineFile('C:\Users\Максим-07\AppData\Roaming\Browsers\exe.emorhc.bat','');
     SetServiceStart('{cd63c300-b231-4a93-a479-5a1e96976d74}w64', 4);
     DeleteService('{cd63c300-b231-4a93-a479-5a1e96976d74}w64');
     SetServiceStart('{b30c55f2-a940-4907-8051-f13c9acdacdd}w64', 4);
     DeleteService('{b30c55f2-a940-4907-8051-f13c9acdacdd}w64');
     SetServiceStart('{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64', 4);
     DeleteService('{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64');
     SetServiceStart('{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64', 4);
     DeleteService('{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64');
     SetServiceStart('{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64', 4);
     DeleteService('{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64');
     SetServiceStart('{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64', 4);
     DeleteService('{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64');
     SetServiceStart('{6db7eb66-a30b-41a3-809c-addb2341dafb}w64', 4);
     DeleteService('{6db7eb66-a30b-41a3-809c-addb2341dafb}w64');
     SetServiceStart('{5f0f49f4-526a-4e0c-b198-a0742c879601}w64', 4);
     DeleteService('{5f0f49f4-526a-4e0c-b198-a0742c879601}w64');
     SetServiceStart('{29302da5-1178-40ac-a178-4cb57ebcc501}w64', 4);
     DeleteService('{29302da5-1178-40ac-a178-4cb57ebcc501}w64');
     SetServiceStart('{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64', 4);
     DeleteService('{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64');
     SetServiceStart('{2859046f-5dca-482a-8c2d-37943d33a392}w64', 4);
     DeleteService('{2859046f-5dca-482a-8c2d-37943d33a392}w64');
     SetServiceStart('SPDRIVER_1489.0.0.0', 4);
     DeleteService('SPDRIVER_1489.0.0.0');
     SetServiceStart('sbmntr', 4);
     DeleteService('sbmntr');
     SetServiceStart('WindowsMangerProtect', 4);
     DeleteService('WindowsMangerProtect');
     SetServiceStart('Util Framed Display', 4);
     DeleteService('Util Framed Display');
     SetServiceStart('Update Service for Torrent Search', 4);
     DeleteService('Update Service for Torrent Search');
     SetServiceStart('Update Framed Display', 4);
     DeleteService('Update Framed Display');
     SetServiceStart('serversu', 4);
     DeleteService('serversu');
     SetServiceStart('MaintainerSvc1.92.5302915', 4);
     DeleteService('MaintainerSvc1.92.5302915');
     QuarantineFile('C:\Windows\system32\drivers\{dda91daf-e6f8-4453-88d1-df18d861c904}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{cd63c300-b231-4a93-a479-5a1e96976d74}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{b30c55f2-a940-4907-8051-f13c9acdacdd}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{6db7eb66-a30b-41a3-809c-addb2341dafb}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{5f0f49f4-526a-4e0c-b198-a0742c879601}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}w64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{2859046f-5dca-482a-8c2d-37943d33a392}w64.sys','');
     QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1489.0.0.0\jsdrv.sys','');
     QuarantineFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys','');
     QuarantineFile('C:\Users\Максим-07\AppData\Local\SmartWeb\swhk.dll','');
     QuarantineFile('c:\progra~3\intere~1\intere~1.dll','');
     QuarantineFile('c:\progra~3\intere~1\InterenetOptimizerSvc.dll','');
     QuarantineFile('C:\Program Files (x86)\XTab\BrowerWatchFF.dll','');
     QuarantineFile('C:\Program Files (x86)\XTab\BrowerWatchCH.dll','');
     QuarantineFile('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.expextdll.dll','');
     QuarantineFile('C:\Program Files (x86)\Framed Display\bin\cd63c300b2314a93a4795a1e96976d74.dll','');
     TerminateProcessByName('c:\program files (x86)\ytdownloader\ytdownloader.exe');
     QuarantineFile('c:\program files (x86)\ytdownloader\ytdownloader.exe','');
     TerminateProcessByName('c:\program files (x86)\framed display\bin\utilframeddisplay.exe');
     QuarantineFile('c:\program files (x86)\framed display\bin\utilframeddisplay.exe','');
     TerminateProcessByName('c:\program files (x86)\framed display\updateframeddisplay.exe');
     QuarantineFile('c:\program files (x86)\framed display\updateframeddisplay.exe','');
     TerminateProcessByName('c:\users\Максим-07\appdata\roaming\softwareupdater\susrv.exe');
     QuarantineFile('c:\users\Максим-07\appdata\roaming\softwareupdater\susrv.exe','');
     TerminateProcessByName('c:\users\Максим-07\appdata\local\smartweb\smartwebhelper.exe');
     QuarantineFile('c:\users\Максим-07\appdata\local\smartweb\smartwebhelper.exe','');
     TerminateProcessByName('c:\users\Максим-07\appdata\local\smartweb\smartwebapp.exe');
     QuarantineFile('c:\users\Максим-07\appdata\local\smartweb\smartwebapp.exe','');
     TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
     QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
     TerminateProcessByName('c:\programdata\ecbaef90-5696-41e1-a1c3-3e8112ce2840\maintainer.exe');
     QuarantineFile('c:\programdata\ecbaef90-5696-41e1-a1c3-3e8112ce2840\maintainer.exe','');
     TerminateProcessByName('c:\program files (x86)\shopperpro\jsdriver\1489.0.0.0\jsdrv.exe');
     QuarantineFile('c:\program files (x86)\shopperpro\jsdriver\1489.0.0.0\jsdrv.exe','');
     TerminateProcessByName('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.PurBrowse64.exe');
     QuarantineFile('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.PurBrowse64.exe','');
     TerminateProcessByName('c:\program files (x86)\framed display\bin\frameddisplay.expext.exe');
     QuarantineFile('c:\program files (x86)\framed display\bin\frameddisplay.expext.exe','');
     TerminateProcessByName('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.BrowserAdapter64.exe');
     QuarantineFile('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.BrowserAdapter64.exe','');
     TerminateProcessByName('c:\program files (x86)\framed display\bin\frameddisplay.browseradapter.exe');
     QuarantineFile('c:\program files (x86)\framed display\bin\frameddisplay.browseradapter.exe','');
     TerminateProcessByName('c:\program files (x86)\framed display\bin\frameddisplay.boashelper.exe');
     QuarantineFile('c:\program files (x86)\framed display\bin\frameddisplay.boashelper.exe','');
     TerminateProcessByName('c:\program files (x86)\torrent search\basement\extensionupdaterservice.exe');
     QuarantineFile('c:\program files (x86)\torrent search\basement\extensionupdaterservice.exe','');
     TerminateProcessByName('c:\users\Максим-07\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrlte.exe');
     QuarantineFile('c:\users\Максим-07\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrlte.exe','');
     TerminateProcessByName('c:\programdata\windows\csrss.exe');
     QuarantineFile('c:\programdata\windows\csrss.exe','');
     TerminateProcessByName('c:\program files (x86)\xtab\cmdshell.exe');
     QuarantineFile('c:\program files (x86)\xtab\cmdshell.exe','');
     DeleteFile('c:\program files (x86)\xtab\cmdshell.exe','32');
     DeleteFile('c:\programdata\windows\csrss.exe','32');
     DeleteFile('c:\users\Максим-07\appdata\local\pay-by-ads\yahoo! search\1.3.19.2\dsrlte.exe','32');
     DeleteFile('c:\program files (x86)\torrent search\basement\extensionupdaterservice.exe','32');
     DeleteFile('c:\program files (x86)\framed display\bin\frameddisplay.boashelper.exe','32');
     DeleteFile('c:\program files (x86)\framed display\bin\frameddisplay.browseradapter.exe','32');
     DeleteFile('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.BrowserAdapter64.exe','32');
     DeleteFile('c:\program files (x86)\framed display\bin\frameddisplay.expext.exe','32');
     DeleteFile('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.PurBrowse64.exe','32');
     DeleteFile('c:\program files (x86)\shopperpro\jsdriver\1489.0.0.0\jsdrv.exe','32');
     DeleteFile('c:\programdata\ecbaef90-5696-41e1-a1c3-3e8112ce2840\maintainer.exe','32');
     DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
     DeleteFile('c:\users\Максим-07\appdata\local\smartweb\smartwebapp.exe','32');
     DeleteFile('c:\users\Максим-07\appdata\local\smartweb\smartwebhelper.exe','32');
     DeleteFile('c:\users\Максим-07\appdata\roaming\softwareupdater\susrv.exe','32');
     DeleteFile('c:\program files (x86)\framed display\updateframeddisplay.exe','32');
     DeleteFile('c:\program files (x86)\framed display\bin\utilframeddisplay.exe','32');
     DeleteFile('c:\program files (x86)\ytdownloader\ytdownloader.exe','32');
     DeleteFile('C:\Program Files (x86)\Framed Display\bin\cd63c300b2314a93a4795a1e96976d74.dll','32');
     DeleteFile('C:\Program Files (x86)\Framed Display\bin\FramedDisplay.expextdll.dll','32');
     DeleteFile('C:\Program Files (x86)\XTab\BrowerWatchCH.dll','32');
     DeleteFile('C:\Program Files (x86)\XTab\BrowerWatchFF.dll','32');
     DeleteFile('c:\progra~3\intere~1\InterenetOptimizerSvc.dll','32');
     DeleteFile('c:\progra~3\intere~1\intere~1.dll','32');
     DeleteFile('C:\Users\Максим-07\AppData\Local\SmartWeb\swhk.dll','32');
     DeleteFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys','32');
     DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1489.0.0.0\jsdrv.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{2859046f-5dca-482a-8c2d-37943d33a392}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{5f0f49f4-526a-4e0c-b198-a0742c879601}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{6db7eb66-a30b-41a3-809c-addb2341dafb}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{9de7e012-74d3-4f9d-b4b0-2d3150073168}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{b30c55f2-a940-4907-8051-f13c9acdacdd}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{cd63c300-b231-4a93-a479-5a1e96976d74}w64.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{dda91daf-e6f8-4453-88d1-df18d861c904}w64.sys','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SPDriver');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SPDriver');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yahoo! Search');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\Browsers\exe.emorhc.bat','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\Browsers\exe.resworb.bat','32');
     DeleteFile('C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll','32');
     DeleteFile('C:\Program Files (x86)\Torrent Search\Toolbar32.dll','32');
     DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
     DeleteFile('C:\ProgramData\ruealdeaal\o9PMTvnYyaxUmE.dll','32');
     DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32');
     DeleteFile('C:\ProgramData\FinieeDealSoft\zlsQhUZDLPR1Dd.dll','32');
     DeleteFile('C:\Program Files (x86)\SaverAdDoN\l2VjeaAexWjd8N.dll','32');
     DeleteFile('C:\ProgramData\sAvINSihOpi\jZYr3MTDlnx3WQ.dll','32');
     DeleteFile('C:\ProgramData\toOOpddeal\8yFVsq6sBcGb2M.dll','32');
     DeleteFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-1-6.exe','32');
     DeleteFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-1-7.exe','32');
     DeleteFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-11.exe','32');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-1-6.job','64');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-1-7.job','64');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-11.job','64');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-4.job','64');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-5.job','64');
     DeleteFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-4.exe','32');
     DeleteFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-5.exe','32');
     DeleteFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-6.exe','32');
     DeleteFile('C:\Program Files (x86)\PC Helper\53081638-81c9-44f5-b4fe-edec30c2bb72-7.exe','32');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-7.job','64');
     DeleteFile('C:\Windows\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-6.job','64');
     DeleteFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-1-6.exe','32');
     DeleteFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-1-7.exe','32');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-1-6.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-1-7.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-11.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-4.job','64');
     DeleteFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-4.exe','32');
     DeleteFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-11.exe','32');
     DeleteFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-5.exe','32');
     DeleteFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-6.exe','32');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-5.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-5_user.job','64');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-6.job','64');
     DeleteFile('C:\Program Files (x86)\Sense\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-7.exe','32');
     DeleteFile('C:\Users\-07~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\FVDDSMB.exe','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\FWbYRZC5HeJDmsSkniNffUEyB.exe','32');
     DeleteFile('C:\Windows\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-7.job','64');
     DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
     DeleteFile('C:\Windows\Tasks\FVDDSMB.job','64');
     DeleteFile('C:\Windows\Tasks\FWbYRZC5HeJDmsSkniNffUEyB.job','64');
     DeleteFile('C:\Windows\Tasks\HMXS.job','64');
     DeleteFile('C:\Windows\Tasks\INYW.job','64');
     DeleteFile('C:\Windows\Tasks\LBJF.job','64');
     DeleteFile('C:\Windows\Tasks\NIYUU.job','64');
     DeleteFile('C:\Windows\Tasks\RETVD.job','64');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\s2EIvkJa8G0FooxH3V.exe','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\RETVD.exe','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\NIYUU.exe','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\LBJF.exe','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\INYW.exe','32');
     DeleteFile('C:\Users\Максим-07\AppData\Roaming\HMXS.exe','32');
     DeleteFile('C:\Windows\Tasks\s2EIvkJa8G0FooxH3V.job','64');
     DeleteFile('C:\Windows\system32\Tasks\$crrUnisntlDsply$','64');
     DeleteFile('C:\Windows\system32\Tasks\$crrUnisntlDsply$ Updater','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-1-6','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-1-7','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-11','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-4','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-5','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-6','64');
     DeleteFile('C:\Windows\system32\Tasks\53081638-81c9-44f5-b4fe-edec30c2bb72-7','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-1-6','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-1-7','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-11','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-4','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-5','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-6','64');
     DeleteFile('C:\Windows\system32\Tasks\ba64aafc-9c4f-4ea6-aab3-a0f465542b9f-7','64');
     DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
     DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
     DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\DoctorPC_Popup','64');
     DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
     DeleteFile('C:\Windows\system32\Tasks\DoctorPC_Start','64');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\SMupdate2','64');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\SMupdate3','64');
     DeleteFile('C:\Windows\system32\Tasks\ShopperPro','64');
     DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','64');
     DeleteFile('C:\Windows\system32\Tasks\SMupdate1','64');
     DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll','32');
     DeleteFile('C:\Program Files (x86)\ShopperPro\updater.exe','32');
     DeleteFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','32');
     DeleteFile('C:\Program Files (x86)\YTDownloader\updater.exe','32');
     DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\YTDownloaderUpd','64');
     DeleteFile('C:\Windows\system32\Tasks\YTDownloader','64');
     DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Updater','64');
     DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search','64');
     DeleteFile('C:\Windows\system32\Tasks\SPDriver','64');
     DeleteFile('C:\Users\Максим-07\appdata\roaming\vopackage\vosrv.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи по правилам

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. Это понравилось:


  8. #5
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    17
    Вес репутации
    38
    Спасибо за отклик.
    mike 1, размещаю указанное вами.
    • Антивирусник Microsoft Security Essentials отключил.
    • AVZ запустил от администратора, базы обновил, скрипт выполнен. Презагрузился. Создана папка avz4\Quarantine\2015-02-25
    • Выполнен скрипт 2. "Скрипт выполнен без ошибок". В папке AVZ создан архив quarantine.
    • Согласно приложению 2 через AVZ карантин архивирую в файл virus.zip
      Файл сохранён как 150225_194500_virus_54ededfc19721.zip
      Размер файла 328728
      MD5 8ead8c2db5b934de69d3c966505bed04
    • Строчки в HiJackThis пофикшены, не было только одной.
    • Делаю логи по правилам. Раздел "Диагностика" п.2 и 3. Прикрепляю virusinfo_syscheck.zip и hijackthis.log
    • После сканирования AdwCleaner образован файл C:\AdwCleaner\AdwCleaner[R2].txt. Программа запускалась ранее.
    • Check_Browsers_LNK прикрепляю.

    thyrex, Ваш скрипт тоже выполнил и так же прикрепил virus.zip
    Файл сохранён как 150225_202832_virus_54edf830387d9.zip
    Размер файла 328724
    MD5 d975db40df7a91dc7f9359d5d27106cd
    Логи старался сделать по правилам, virusinfo_syscheck.zip и hijackthis.log прикрепил.
    Как и лог полного сканирования МВАМ.

    У Вас в правилах указано, что "если Ваши файлы зашифрованы, выложите несколько таких файлов на файлообменник и укажите ссылку на них в своей теме."
    Стоит ли выкладывать файлы?
    Вложения Вложения
    Последний раз редактировалось Adabao; 26.02.2015 в 07:59.

  9. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.


    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

    В MBAM удалите все, кроме:

    Код:
    Files:
    PUP.Optional.Conduit, C:\Program Files (x86)\Opera\program\Radio_W.exe, , [edbc71b10c7ea49235c8ea454eb24fb1], 
    Trojan.VirTool, D:\Sonic And All Stars Racing Transformed\steam_api.dll, , [9b0e8e94f39748ee1f9a03cebe4447b9], 
    PUP.Riskware.Patcher, D:\Games\Bad Piggies 1.3.0\Patch\Patch.exe, , [c0e9f52d1f6bbc7ab0b0ba7b629f9b65], 
    PUP.Riskware.Patcher, D:\Games\Patch\angry.birds.all-patch.offline.v1.4.exe, , [298047dbe2a82f070c77181228d9af51],
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  10. Это понравилось:


  11. #7
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    17
    Вес репутации
    38
    ClearLNK-26.02.2015_16-35.log прикрепляю

    В AdwCleaner удалил все. После перезагрузки созданы сначала AdwCleaner[R3].txt , а уже потом AdwCleaner[R0].txt
    На всякий случай прикрепляю оба, хотя как понял нужен только AdwCleaner[S0].txt.

    В MBAM удалил все кроме указанного, вышло более 1300 объектов
    Вложения Вложения
    Последний раз редактировалось Adabao; 26.02.2015 в 16:19. Причина: закончено сканирование и удаление в MBAM

  12. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Сделайте новый лог быстрого сканирования MBAM.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. Это понравилось:


  14. #9
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    17
    Вес репутации
    38
    Точно, упустил. Надо было прикрепить еще к пред идущему сообщению.

    В Malwarebytes Antimalware 2.0.4.1028 окно сканирование имеет немного другой вид и из режимов сканирования только Thears, Custom и Hyper.

    Скрытый текст

    по инструкции
    Как удалять с помощью MBAM указанные в теме элементы?
    - Запустите MBAM
    - выберите Perform Full Scan (Провести полную проверку)
    - нажмите Scan (Проверить)
    - после сканирования выберите Ок и далее Show Results (Показать результаты)
    - отметьте пункты, которые Вам указали
    - нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).
    После удаления откройте лог и прикрепите его к сообщению.
    Скрыть

    Проскандировал еще раз в Custom, отметив Scan For Rootkits.
    Как следствие после сканирования не было кнопки "Ок и далее Show Results". Пришлось просто отправить файлы в карантин и удалить уже из карантина.

    Далее выполнил Threat Scan
    В пункте "Как сделать лог программой Malwarebytes Antimalware?" в п.5 требуется "Прикрепите его без переименования к Вашему следующему сообщению.", к сожалению, программа не указывала имени по умолчанию. Пришлось писать свое.

    После удаления найденного система стала загружаться быстрей.
    Подскажите пожалуйста, а возможно ли вообще как-то будет расшифровать файлы?
    Вложения Вложения
    Последний раз редактировалось Adabao; 26.02.2015 в 19:33.

  15. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  16. Это понравилось:


  17. #11
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    17
    Вес репутации
    38
    Файлы прикреплены.
    Вложения Вложения

  18. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      HKU\S-1-5-21-1267251502-2210055098-2712314708-1000\...\Run: [amigo] => [X]
      GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
      CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      CHR HKU\S-1-5-21-1267251502-2210055098-2712314708-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      BHO: ruealdeaal -> {990d626d-eed3-45ef-a36f-b41af7b5ee4b} -> C:\ProgramData\ruealdeaal\o9PMTvnYyaxUmE.x64.dll No File
      BHO: FinieeDealSoft -> {bf5b345f-c446-408b-b568-e502d9b3e0d3} -> C:\ProgramData\FinieeDealSoft\zlsQhUZDLPR1Dd.x64.dll No File
      BHO: toOOpddeal -> {c5a6646c-f56d-409a-9223-5dc4e8af6d12} -> C:\ProgramData\toOOpddeal\8yFVsq6sBcGb2M.x64.dll No File
      BHO: sAvINSihOpi -> {dc1e491a-b0b3-4c9b-98fe-9592a316bedc} -> C:\ProgramData\sAvINSihOpi\jZYr3MTDlnx3WQ.x64.dll No File
      BHO: SaverAdDoN -> {dd404620-0c63-4df4-b9e4-2a28c288a3e8} -> C:\Program Files (x86)\SaverAdDoN\l2VjeaAexWjd8N.x64.dll No File
      Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      FF Extension: Аудио и видео скачивание - C:\Users\Максим-07\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2014-04-20]
      FF Extension: No Name - C:\Users\Максим-07\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [Not Found]
      FF Extension: No Name - C:\Users\Максим-07\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [Not Found]
      FF Extension: No Name - C:\Users\Максим-07\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [Not Found]
      CHR Extension: (No Name) - C:\Users\Максим-07\AppData\Local\Google\Chrome\User Data\Default\Extensions\aminlpmkfcdibgpgfajlgnamicjckkjf [2014-12-23]
      CHR Extension: (No Name) - C:\Users\Максим-07\AppData\Local\Google\Chrome\User Data\Default\Extensions\dddolhbpcinoedddohicidnkmflkhjdf [2015-01-30]
      CHR Extension: (No Name) - C:\Users\Максим-07\AppData\Local\Google\Chrome\User Data\Default\Extensions\hppaelnlbojhnjbjcdoaddedbnbaiocf [2015-02-21]
      CHR Extension: (No Name) - C:\Users\Максим-07\AppData\Local\Google\Chrome\User Data\Default\Extensions\igloknlllonknnbkfgggfkigmeegmakf [2015-01-08]
      CHR Extension: (No Name) - C:\Users\Максим-07\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi [2014-12-23]
      CHR Extension: (No Name) - C:\Users\Максим-07\AppData\Local\Google\Chrome\User Data\Default\Extensions\ppmjceoiaemcohnikoniifdmoemkegej [2015-01-02]
      OPR StartupUrls: "hxxp://1knl.org/?src=hp3&subid1=jan",
                  "hxxp://1knl.org/?src=hp3&subid1=jan"
      OPR Extension: (No Name) - C:\Users\Максим-07\AppData\Roaming\Opera Software\Opera Stable\Extensions\iphpmnjjkbneokidkdkcdfhlhlimhnfj [2015-02-01]
      OPR Extension: (PC Helper) - C:\Users\Максим-07\AppData\Roaming\Opera Software\Opera Stable\Extensions\kfjnfapiocpibeddeekmbikhpegjhdgi [2015-02-01]
      OPR Extension: (Sense) - C:\Users\Максим-07\AppData\Roaming\Opera Software\Opera Stable\Extensions\knlpigpfaognbholppaembpfphilacie [2015-02-01]
      OPR Extension: (Ge-Force) - C:\Users\Максим-07\AppData\Roaming\Opera Software\Opera Stable\Extensions\nhjehbmopbfbomhchfkhbghcehpeiijl [2015-02-01]
      2015-02-19 21:05 - 2015-02-23 21:25 - 00000000 __SHD () C:\Users\Все пользователи\Windows
      2015-02-19 21:05 - 2015-02-23 21:25 - 00000000 __SHD () C:\ProgramData\Windows
      2015-02-01 11:08 - 2015-02-26 21:41 - 00000000 ____D () C:\Program Files (x86)\61bb674a-4cd7-4be2-a2d2-2297b3cddc9b
      2015-02-01 11:07 - 2015-02-01 11:07 - 00000000 ____D () C:\Users\Максим-07\AppData\Roaming\Doctor PC
      2015-02-01 10:55 - 2015-02-01 11:02 - 00000235 _____ () C:\Windows\SysWOW64\rmAds.bat
      2015-02-01 10:52 - 2015-02-26 21:41 - 00000000 ____D () C:\Program Files (x86)\849b61b6-9dce-4498-ae44-7cecf1b8b877
      2015-02-01 10:42 - 2015-02-23 21:25 - 00000000 ____D () C:\Users\Максим-07\AppData\Roaming\Browsers
      2015-02-01 10:42 - 2015-02-01 10:42 - 00000000 ____D () C:\Users\Максим-07\AppData\Roaming\SPI
      2015-02-01 10:31 - 2015-02-01 10:31 - 00000001 _____ () C:\Users\Максим-07\AppData\Roaming\smw_inst
      2015-02-23 22:02 - 2014-10-28 20:57 - 00000000 ____D () C:\Users\Все пользователи\ecbaef90-5696-41e1-a1c3-3e8112ce2840
      2015-02-23 22:02 - 2014-10-28 20:57 - 00000000 ____D () C:\ProgramData\ecbaef90-5696-41e1-a1c3-3e8112ce2840
      2015-02-21 21:29 - 2015-01-08 23:26 - 00000000 ____D () C:\Users\Все пользователи\ffbfjeahcckeffjdblmokhoalemnkceo
      2015-02-21 21:29 - 2015-01-08 23:26 - 00000000 ____D () C:\ProgramData\ffbfjeahcckeffjdblmokhoalemnkceo
      2015-02-21 21:29 - 2014-11-15 18:42 - 00000000 ____D () C:\Users\Все пользователи\4f613a46181eb60
      2015-02-21 21:29 - 2014-11-15 18:42 - 00000000 ____D () C:\ProgramData\4f613a46181eb60
      2014-02-23 16:04 - 2014-02-23 16:04 - 0000233 _____ () C:\Users\Максим-07\AppData\Roaming\del.bat
      2015-01-25 22:12 - 2015-01-25 22:12 - 0001248 _____ () C:\Users\Максим-07\AppData\Roaming\FVDDSMB
      2015-01-20 21:00 - 2015-01-20 21:00 - 0001246 _____ () C:\Users\Максим-07\AppData\Roaming\FWbYRZC5HeJDmsSkniNffUEyB
      2015-01-25 22:12 - 2015-01-25 22:12 - 0001248 _____ () C:\Users\Максим-07\AppData\Roaming\HMXS
      2015-01-25 22:12 - 2015-01-25 22:12 - 0002086 _____ () C:\Users\Максим-07\AppData\Roaming\INYW
      2015-01-25 22:12 - 2015-01-25 22:12 - 0001248 _____ () C:\Users\Максим-07\AppData\Roaming\LBJF
      2015-01-25 22:12 - 2015-01-25 22:12 - 0002086 _____ () C:\Users\Максим-07\AppData\Roaming\NIYUU
      2013-12-23 18:48 - 2014-02-16 09:03 - 0000916 _____ () C:\Users\Максим-07\AppData\Roaming\pl_accounts.pl_acc
      2015-01-25 22:12 - 2015-01-25 22:12 - 0002086 _____ () C:\Users\Максим-07\AppData\Roaming\RETVD
      2015-01-20 21:00 - 2015-01-20 21:00 - 0002087 _____ () C:\Users\Максим-07\AppData\Roaming\s2EIvkJa8G0FooxH3V
      2015-02-01 10:31 - 2015-02-01 10:31 - 0000001 _____ () C:\Users\Максим-07\AppData\Roaming\smw_inst
      C:\Users\Максим-07\AppData\Roaming\E6F7BA4F
      C:\Users\Максим-07\AppData\Local\Temp\362270A4-3E15-7424-D959-B84C15887660.exe
      C:\Users\Максим-07\AppData\Local\Temp\4BCD0FE7-18E4-2031-5542-49664A1ECCCD.dll
      C:\Users\Максим-07\AppData\Local\Temp\4BCD0FE7-18E4-2031-5542-49664A1ECCCD.exe
      C:\Users\Максим-07\AppData\Local\Temp\AmigoDistrib.exe
      C:\Users\Максим-07\AppData\Local\Temp\coaA0F2.tmp.exe
      C:\Users\Максим-07\AppData\Local\Temp\coaA288.tmp.exe
      C:\Users\Максим-07\AppData\Local\Temp\coaCD10.tmp.exe
      C:\Users\Максим-07\AppData\Local\Temp\DataCard_Setup64.exe
      C:\Users\Максим-07\AppData\Local\Temp\flv.exe
      C:\Users\Максим-07\AppData\Local\Temp\Free_File_Download.exe
      C:\Users\Максим-07\AppData\Local\Temp\mailruhomesearchvbm.exe
      C:\Users\Максим-07\AppData\Local\Temp\Quarantine.exe
      C:\Users\Максим-07\AppData\Local\Temp\ResetDevice.exe
      C:\Users\Максим-07\AppData\Local\Temp\Runner4.exe
      C:\Users\Максим-07\AppData\Local\Temp\runprog.exe
      C:\Users\Максим-07\AppData\Local\Temp\Setup-yabrowser.exe
      C:\Users\Максим-07\AppData\Local\Temp\SpOrder.dll
      C:\Users\Максим-07\AppData\Local\Temp\sqlite3.dll
      C:\Users\Максим-07\AppData\Local\Temp\yupdate-exec-yabrowser.exe
      C:\Users\Максим-07\AppData\Local\Temp\_is7ACC.exe
      C:\Users\Максим-07\AppData\Local\Temp\_is9D77.exe
      Task: {B49DF34B-E579-4377-ADA2-E9AD220D4C9D} - \Microsoft\Windows\Maintenance\SMupdate2 No Task File <==== ATTENTION
      Task: {DFA0CA11-B477-4CB7-ACBE-70313C44906B} - \Microsoft\Windows\Multimedia\SMupdate3 No Task File <==== ATTENTION
      AlternateDataStreams: C:\ProgramData\TEMP:373E1720
      AlternateDataStreams: C:\ProgramData\TEMP:862BDB1A
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:373E1720
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:862BDB1A
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. Это понравилось:


  20. #13
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    17
    Вес репутации
    38
    готово
    Вложения Вложения

  21. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Сбросьте настройки Opera. В остальном логи в порядке. С расшифровкой не поможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  22. Это понравилось:


  23. #15
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    17
    Вес репутации
    38
    Спасибо за помощь.
    А Вы можете подсказать где, примерно, можно найти помощь с расшифровкой? Или на данный момент надеяться только на тех поддержку от DrWeb и Касперского при приобретении продуктов?

  24. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Вирлабы не помогут
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  25. Это понравилось:


  26. #17
    Junior Member Репутация
    Регистрация
    10.12.2013
    Сообщений
    17
    Вес репутации
    38
    Может тогда хоть кто-то помочь или бекапить файлы до лучших времен?
    Ходят слухи, что при отправки денег, связавшись через указанные адреса, высылают дешифратор. Но это не вариант, ведь тут никаких гарантий.

  27. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Бэкапами нужно было заниматься до шифрования.

    Помогут только злодеи. Почитайте про RSA-шифрование
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  28. Это понравилось:


  29. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 24
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Adabao, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 21.02.2015, 17:25
    2. зашифрованы файлы "XTBL" (.xtbl)
      От DJOHNGT в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.02.2015, 16:49
    3. Ответов: 2
      Последнее сообщение: 08.02.2015, 01:24
    4. Все файлы на компьютере зашифрованы в расширении "XTBL".
      От Михаил Рубцов в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.01.2015, 14:32
    5. Ответов: 6
      Последнее сообщение: 25.12.2012, 00:51

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00199 seconds with 20 queries