Добрый день. Подхватил вирус.
Все изображения на компе переименовались в [email protected]-CL 1.0.0.0.id-HIIJLMMMOPPQRRSTUVVWXXYZAABCDDEEFGHI-13.07.2015 13@[email protected]
Добрый день. Подхватил вирус.
Все изображения на компе переименовались в [email protected]-CL 1.0.0.0.id-HIIJLMMMOPPQRRSTUVVWXXYZAABCDDEEFGHI-13.07.2015 13@[email protected]
Последний раз редактировалось thyrex; 14.07.2015 в 10:33.
Уважаемый(ая) Natar, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Перечитайте правила и пришлите нужные логи (в том виде, как они получаются), а не хлам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Почему не полный файл?virusinfo_syscure.zip
Делаю как в видео инструкции.
- - - - -Добавлено - - - - -
[email protected] 1.0.0.0.id-HIIJLMMMOPPQRRSTUVVWXXYZAABCDDEEFGHI-13.07.2015 13.rar
hijackthis.rar
virusinfo_syscure.zip
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe',''); QuarantineFile('C:\Users\0253~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\0253~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE',''); DelBHO('{71e129ff-6c2a-4984-818c-7e2c998b8d99}'); DelBHO('{7EACAC38-B7F6-4514-9DC1-3428A7964ABD}'); DelBHO('{D4EF7D75-52C9-4BCE-B6DC-0976EFAB4B0B}'); QuarantineFile('C:\Users\Динара\AppData\Local\SaveSense\SaveSenseIE.dll',''); QuarantineFile('C:\Program Files (x86)\metaCrawler\1.8.19.0\bh\metacrawler.dll',''); DeleteFile('C:\Users\Динара\AppData\Local\br5733on.exe','32'); DeleteFile('C:\Windows\ShellNew\RakyatKelaparan.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bron-Spizaetus','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus-2355','command'); DeleteFile('C:\Program Files (x86)\metaCrawler\1.8.19.0\bh\metacrawler.dll','32'); DeleteFile('C:\Users\Динара\AppData\Local\SaveSense\SaveSenseIE.dll','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierCA.job','64'); DeleteFile('C:\Users\0253~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\0253~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe','32'); DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job','64'); DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64'); DeleteFile('C:\Windows\Tasks\Funmoods.job','64'); DeleteFile('C:\Windows\Tasks\Tuneup Pro_DEFAULT.job','64'); DeleteFile('C:\Windows\Tasks\Tuneup Pro_UPDATES.job','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierCA','64'); DeleteFile('C:\Windows\system32\Tasks\ASP','64'); DeleteFile('C:\Program Files (x86)\Tuneup pro\SystweakASP.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Funmoods','64'); DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','64'); DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','64'); DeleteFile('C:\Windows\system32\Tasks\SaveSenseLiveUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\SaveSenseLiveUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\Tuneup Pro_DEFAULT','64'); DeleteFile('C:\Windows\system32\Tasks\Tuneup Pro','64'); DeleteFile('C:\Windows\system32\Tasks\Tuneup Pro_UPDATES','64'); DeleteFile('C:\Windows\system32\Tasks\{D8A8D582-3FD5-4D19-86D5-3577D14885E9}','64'); DeleteFile('C:\Users\Динара\AppData\Local\MediaGet2\mediaget.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
virusinfo_syscure.zip - вот по этому логу не уверен. Три раза запускал и все три раза avz4 закрывался.
hijackthis2.zip
Последний раз редактировалось thyrex; 14.07.2015 в 16:40.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
123.txt
Это оно?
Последний раз редактировалось Natar; 14.07.2015 в 21:14.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ссылка, по которой скачали шифровальщика, сохранилась?
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: Task: {173E51DC-073A-41D3-957D-AE5A72D12C8B} - \CCleanerSkipUAC No Task File <==== ATTENTION Task: {2B3C0485-71BA-481F-99A4-0ECB6B154034} - System32\Tasks\DealPlyUpdate => C:\Program <==== ATTENTION Task: {46606EA4-906C-4ED7-939A-0EFB8749F7A3} - System32\Tasks\Advanced-System Protector_startup => C:\Program Files (x86)\ASP\AdvancedSystemProtector.exe <==== ATTENTION Task: {B4F78FD2-C894-465E-AE7C-4EEF6F5A432D} - \ASP No Task File <==== ATTENTION Task: {C7EC469B-BB93-47B8-8F30-798AEAEF2B75} - \LaunchSignup No Task File <==== ATTENTION Task: {CE5D638C-80A7-4B12-B0BF-EC4203B2DD85} - \{D8A8D582-3FD5-4D19-86D5-3577D14885E9} No Task File <==== ATTENTION Task: {CF5C5B8A-1C1E-4AEC-B9EE-5BB108A0BDF6} - \Tuneup Pro No Task File <==== ATTENTION Task: {D927443D-2C5A-4BBE-8F8B-A1DF5E4BF32A} - System32\Tasks\DealPly => C:\Users\Динара\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-02-27] () <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://i.search.metacrawler.com/?f=1&a=ironmc&cd=2XzuyEtN2Y1L1QzuyCyEtByBtAyB0B0CyDtD0C0CtCtC0BzztN0D0Tzu0CyCyEzztN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu&cr=1413738495&ir= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://i.search.metacrawler.com/?f=1&a=ironmc&cd=2XzuyEtN2Y1L1QzuyCyEtByBtAyB0B0CyDtD0C0CtCtC0BzztN0D0Tzu0CyCyEzztN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu&cr=1413738495&ir= SearchScopes: HKLM -> DefaultScope Yandex URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=ironmc&cd=2XzuyEtN2Y1L1QzuyCyEtByBtAyB0B0CyDtD0C0CtCtC0BzztN0D0Tzu0CyCyEzztN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu&cr=1413738495&ir= SearchScopes: HKLM -> {038F9D50-22E7-E527-91AD-4AB00F0E5B57} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuyCyEtByBtAyB0B0CyDtD0C0CtCtC0BzztN0D0Tzu0CtAzzyEtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2085851270 SearchScopes: HKLM-x32 -> DefaultScope Yandex URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=ironmc&cd=2XzuyEtN2Y1L1QzuyCyEtByBtAyB0B0CyDtD0C0CtCtC0BzztN0D0Tzu0CyCyEzztN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu&cr=1413738495&ir= SearchScopes: HKLM-x32 -> {2E7B1279-837C-361C-6E49-39E36827C8CA} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuyCyEtByBtAyB0B0CyDtD0C0CtCtC0BzztN0D0Tzu0CtAzzyEtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2085851270 SearchScopes: HKU\S-1-5-21-3976892783-1740816122-1354556354-1000 -> Yandex URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=ironmc&cd=2XzuyEtN2Y1L1QzuyCyEtByBtAyB0B0CyDtD0C0CtCtC0BzztN0D0Tzu0CyCyEzztN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu&cr=1413738495&ir= SearchScopes: HKU\S-1-5-21-3976892783-1740816122-1354556354-1000 -> yandex.ru-010621 URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuyCyEtByBtAyB0B0CyDtD0C0CtCtC0BzztN0D0Tzu0CtAzzyEtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2085851270 SearchScopes: HKU\S-1-5-21-3976892783-1740816122-1354556354-1000 -> {038F9D50-22E7-E527-91AD-4AB00F0E5B57} URL = http://search.conduit.com/Results.aspx?ctid=CT3315513&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP69A63AFF-B14D-4A1E-9683-72E25130C74C&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-3976892783-1740816122-1354556354-1000 -> {67A93658-8A3F-46AF-029F-2B8E14CF7DFA} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=AgnUpd&cd=2XzuyEtN2Y1L1QzuyCyEtByBtAyB0B0CyDtD0C0CtCtC0BzztN0D0Tzu0CyEyEtAtN1L2XzutN1L1Czu&cr=102117012&ir= SearchScopes: HKU\S-1-5-21-3976892783-1740816122-1354556354-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> Yandex URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=ironmc&cd=2XzuyEtN2Y1L1QzuyCyEtByBtAyB0B0CyDtD0C0CtCtC0BzztN0D0Tzu0CyCyEzztN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu&cr=1413738495&ir= SearchScopes: HKU\S-1-5-21-3976892783-1740816122-1354556354-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> yandex.ru-010621 URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuyCyEtByBtAyB0B0CyDtD0C0CtCtC0BzztN0D0Tzu0CtAzzyEtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2085851270 SearchScopes: HKU\S-1-5-21-3976892783-1740816122-1354556354-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> {038F9D50-22E7-E527-91AD-4AB00F0E5B57} URL = http://search.conduit.com/Results.aspx?ctid=CT3315513&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP69A63AFF-B14D-4A1E-9683-72E25130C74C&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-3976892783-1740816122-1354556354-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> {67A93658-8A3F-46AF-029F-2B8E14CF7DFA} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=AgnUpd&cd=2XzuyEtN2Y1L1QzuyCyEtByBtAyB0B0CyDtD0C0CtCtC0BzztN0D0Tzu0CyEyEtAtN1L2XzutN1L1Czu&cr=102117012&ir= BHO-x32: DealPly -> {EF7BD87A-8024-11E2-F316-F3E56188709B} -> C:\Program Files (x86)\DealPly\DealPlyIE.dll [2013-02-28] (DealPly) Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-3976892783-1740816122-1354556354-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-3976892783-1740816122-1354556354-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF SearchPlugin: C:\Users\Динара\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\Funmoods.xml [2013-04-01] FF Extension: SaveSense - C:\Users\Динара\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{2d7886a0-85bb-4bf2-b684-ba92b4b21d23} [2014-01-20] CHR Extension: (DealPly Brazil) - C:\Users\Динара\AppData\Local\Google\Chrome\User Data\Default\Extensions\fmfnfnpmhcllokmkepffndflpnadjmma [2014-04-13] CHR HKLM-x32\...\Chrome\Extension: [fmfnfnpmhcllokmkepffndflpnadjmma] - C:\Program Files (x86)\DealPly\DealPly.crx [2013-10-09] CHR HKLM-x32\...\Chrome\Extension: [mlfekbihalclhgcbbdggcnjagkgflgkd] - C:\Users\Динара\AppData\Local\SaveSense\SaveSense.crx [Not Found] 2015-07-13 23:57 - 2015-07-13 23:57 - 00000065 _____ C:\Program Files (x86)\KORGASHNMF.WMV 2015-07-13 23:53 - 2015-07-13 23:53 - 00000065 _____ C:\Program Files (x86)\XZJIRZPSJO.KYR 2015-07-13 23:50 - 2015-07-13 23:50 - 00000063 _____ C:\Program Files (x86)\DCWGHCALPK.KUF 2015-07-13 23:46 - 2015-07-13 23:46 - 00000065 _____ C:\Program Files (x86)\VVXSIPOGDB.KYR 2015-07-13 23:43 - 2015-07-13 23:43 - 00000065 _____ C:\Program Files (x86)\EWUVOGNVNS.ENK 2015-07-13 13:48 - 2015-07-14 00:19 - 57420362 _____ C:\Program Files (x86)\log1.log 2015-07-13 13:48 - 2015-07-13 13:48 - 00000065 _____ C:\Program Files (x86)\NBIFAHQCBE.FFX 2015-06-15 23:43 - 2015-06-15 23:43 - 00087519 _____ C:\Users\Динара\AppData\Local\Bron.tok.A17.em.bin 2015-07-14 01:37 - 2014-01-20 22:43 - 00000000 ____D C:\Users\Динара\AppData\Local\SaveSense 2015-07-14 00:19 - 2015-07-14 00:19 - 0156286 _____ () C:\Program Files (x86)\desk.jpg 2015-07-14 00:19 - 2015-07-14 00:19 - 0156286 _____ () C:\Program Files (x86)\desk1.bmp 2015-07-07 16:13 - 2015-07-14 00:15 - 0000162 _____ () C:\Users\Динара\AppData\Local\JunkAtx.bin 2015-07-14 00:15 - 2015-07-14 00:15 - 0000051 _____ () C:\Users\Динара\AppData\Local\Kosong.Bron.Tok.txt Reboot:
- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Он же пришел в виде ссылки, я думаю
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Понятно. Спасибо за информацию.
С расшифровкой, увы, не сможем помочь
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
А как можно еще попробовать восстановить?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
А какой файл на компе был изменен для смены кодировки файлов?