Вирус из письма 2ой компьютер

**Ivanchenko Alex** · 18.06.2015, 21:29

Добрый день. Перешли по ссылке из письма, и явно поймали вирус. Вовремя среагировали и компьютер не перезагрузили, поэтому обошлось только не понятной реакцией каперского (начал блочить какие-то ссылки), и запуском разных процессов явно новых. На 80% уверен что это шифровальщик. Процессы побил ссылки сразу прекратились, в автозагрузке тоже появились эти процессы (тоже удалил), хоть и удалил из автозагрузки процессы перезагружаться все равно страшно. Помогите пожалуйста.

Тема для второго компьютера. Базы на авз обновил логи переделал.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.06.2015, 21:31

Уважаемый(ая) Ivanchenko Alex, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 18.06.2015, 22:23

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Sekretar.LICEY1\Local Settings\Temporary Internet Files\Content.IE5\6RFC71JI\dl[1].htm','');
 QuarantineFile('C:\Documents and Settings\Sekretar.LICEY1\Application Data\rambler.ru\toolbar\mail.mp3','');
 QuarantineFile('C:\Documents and Settings\Sekretar.LICEY1\Application Data\Browsers\exe.xoferif.bat','');
 QuarantineFile('C:\Documents and Settings\Sekretar.LICEY1\Application Data\Browsers\exe.arepo.bat','');
 DeleteFile('C:\Documents and Settings\Sekretar.LICEY1\Application Data\Browsers\exe.arepo.bat','32');
 DeleteFile('C:\Documents and Settings\Sekretar.LICEY1\Application Data\Browsers\exe.xoferif.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\startdrv','command');
 DeleteFile('C:\Documents and Settings\Sekretar.LICEY1\Application Data\rambler.ru\toolbar\mail.mp3','32');
 DeleteFile('C:\Documents and Settings\Sekretar.LICEY1\Local Settings\Temporary Internet Files\Content.IE5\6RFC71JI\dl[1].htm','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте новые логи по правилам

Сделайте лог CheckBrowserLnk

**Ivanchenko Alex** · 22.06.2015, 23:49

Все сделал.

**thyrex** · 23.06.2015, 00:51

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Ivanchenko Alex** · 25.06.2015, 10:23

Готово.

**thyrex** · 25.06.2015, 18:46

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
U1 geyekrpypdivxb; \systemroot\system32\drivers\geyekrnykvtmwv.sys [X]
R2 pysucode; C:\Documents and Settings\Sekretar.LICEY1\Local Settings\Application Data\03000200-1424881945-0500-0006-000700080009\snsk1EF.tmp [179712 2015-02-25] () [File not signed]
R2 cizydoje; C:\Documents and Settings\Sekretar.LICEY1\Application Data\03000200-1424881867-0500-0006-000700080009\jnsn1C9.tmp [95744 2015-02-25] () [File not signed]
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {00301947-36ef-11dd-9427-001b11c439c0} - fppg1.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {08599b89-319b-11db-8b48-00016cf6aa47} - G:\
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {0e4899db-9433-11dd-94cb-00016cf6aa47} - F:\pmxouz.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {1d824245-0aa7-11dd-93e0-001b11c439c0} - F:\0hct8ybw.bat
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {307da803-2cc5-11df-969a-001b11c439c0} - F:\dbgvby.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {35687dbd-e308-11df-97a9-001b11c439c0} - F:\RECY\avrun.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {35e99fe6-dea2-11dc-937e-001b11c439c0} - F:\tio8x6.cmd
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {3e22d6f6-6dfb-11df-96fa-001b11c439c0} - RECY\avrun.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {4163d393-2a3e-11de-9540-001b11c439c0} - F:\dbgvby.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {494a55ac-b3b8-11de-95f5-001b11c439c0} - F:\dbgvby.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {4a82c75a-ee01-11de-9651-001b11c439c0} - F:\dbgvby.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {549c3418-15f8-11df-9680-001b11c439c0} - F:\dbgvby.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {54c3d0fd-d4e2-11df-9799-001b11c439c0} - check.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {55285bea-8b8b-11dd-94be-00016cf6aa47} - F:\czvqvy.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {572a6a9e-e6b9-11dd-94f7-001b11c439c0} - F:\nshwvl.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {58ff767c-dea8-11dc-937f-001b11c439c0} - F:\ReCYClER\\explorer.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {5dfe5b93-e08c-11de-963f-001b11c439c0} - F:\dbgvby.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {6ff32851-4b35-11de-9571-001b11c439c0} - F:\olxnqp.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {703fa878-27e6-11de-9539-001b11c439c0} - F:\RECYCLER\S-54-6-28-3434476501-1644491937-601003330-1213\Regview.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {74f1ce05-a632-11dd-94d8-00016cf6aa47} - F:\pmxouz.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {78a86550-3572-11df-96a3-001b11c439c0} - dbgvby.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {88d67b7c-c295-11dd-94eb-001b11c439c0} - F:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {9360cf55-983b-11de-95d8-001b11c439c0} - RECYCLER\S-51-9-25-3434476501-1644491933-601013345-1214\BSpBT.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {9a87787e-ccf8-11de-960e-001b11c439c0} - F:\dbgvby.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {aa762b66-d81b-11de-962e-001b11c439c0} - F:\pljqdv.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {aca9dee8-58bd-11df-96d9-001b11c439c0} - F:\RECY\avrun.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {afc5f0a4-ba40-11df-976e-001b11c439c0} - F:\RECY\avrun.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {b0484b4b-5187-11de-957a-001b11c439c0} - bncfke.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {b7c203cd-e063-11dd-94f3-001b11c439c0} - F:\duyvte.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {be1fd030-afb0-11dd-94de-00016cf6aa47} - F:\RECY\avrun.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {bffbe01d-09d3-11dd-93df-001b11c439c0} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL autorun.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {c11ac67d-c462-11df-9781-001b11c439c0} - dbgvby.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {c7f63572-fc91-11dc-93c8-001b11c439c0} - F:\d6fagcs8.cmd
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {d3c3e7b4-0d2a-11de-950f-00016cf6aa47} - F:\
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {d6d9f50b-d568-11dd-94f2-001b11c439c0} - F:\duyvte.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {e1b3c33c-9269-11db-8c11-00016cf6aa47} - F:\pmxouz.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {e90942b7-f0b4-11dc-93a2-001b11c439c0} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {e9271395-2fec-11df-969c-001b11c439c0} - F:\dbgvby.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {f4b5c068-db2c-11df-97a1-001b11c439c0} - F:\RECYCLER\S-51-9-25-3434476501-1644491933-601013345-1214\BSpBT.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {f92b4cac-a0b3-11dd-94d4-00016cf6aa47} - F:\pmxouz.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {fde77f18-2664-11dd-940b-001b11c439c0} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {fde77f1a-2664-11dd-940b-001b11c439c0} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe
HKU\S-1-5-21-448539723-1060284298-682003330-1003\...\MountPoints2: {fde77f1b-2664-11dd-940b-001b11c439c0} - H:\USBNB.exe
C:\Windows\svchost.exe
C:\Windows\System32\amva.exe
C:\Windows\System32\amva0.dll
C:\Windows\System32\amva1.dll
C:\Windows\System32\amvo.exe
C:\Windows\System32\amvo0.dll
C:\Windows\System32\amvo1.dll
C:\Windows\System32\ht8x4.exe
C:\Windows\System32\msg1.exe
C:\Windows\System32\ntos.exe
C:\Windows\System32\sdra64.exe
C:\Windows\System32\twex.exe
C:\Windows\System32\twext.exe
C:\Windows\System32\yt8x4.exe
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Сделайте лог TDSSkiller

**CyberHelper** · 25.06.2015, 18:56

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 10
В ходе лечения вредоносные программы в карантинах не обнаружены

Вирус из письма 2ой компьютер (заявка № 185587)

Опции темы

Вирус из письма 2ой компьютер

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Вирус из письма

вирус из письма от ФССП

Вирус из письма от бюро сбора долгов

тоже вирус из письма от якобы Сбербанка

Ваши права в разделе