Привет всем.
Где-то поймал вирус и он переименовал медийные и офисные файлы в разные кракозябры и присвоил им расширение .xtbl.
Было выполнено сканирование и чистка CureIt. Выкладываю требуемые логи.
Привет всем.
Где-то поймал вирус и он переименовал медийные и офисные файлы в разные кракозябры и присвоил им расширение .xtbl.
Было выполнено сканирование и чистка CureIt. Выкладываю требуемые логи.
Уважаемый(ая) DinaMuS, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin QuarantineFile('C:\Users\1\AppData\Roaming\duvtesvs\vcidbtfa.exe',''); DeleteFile('C:\Users\1\AppData\Roaming\duvtesvs\vcidbtfa.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PDFlite'); ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите Check Browsers LNK.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
- Прикрепите этот отчет в вашей теме.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Пожалуйста.
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Готово.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Готово.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-631088843-1429897600-3660290593-1000\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION SearchScopes: HKU\S-1-5-21-631088843-1429897600-3660290593-1000 -> F001E9AA241E23288514A008CA3865DA URL = http://search.us.com/serp?guid={370A1DF9-D940-4232-93BA-C818070281D3}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-631088843-1429897600-3660290593-1000 -> {9FFF07E4-E802-430C-AE11-3C946C0D4D5F} URL = http://search.us.com/serp?guid={94EEFB69-7687-4CDE-BA92-DA7ABB24790C}&action=default_search&k={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File Toolbar: HKLM-x32 - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartabhost.dll No File Toolbar: HKU\S-1-5-21-631088843-1429897600-3660290593-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-631088843-1429897600-3660290593-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-631088843-1429897600-3660290593-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=79335e10522e369d27e59f26ac160dad&text= <==== ATTENTION FF Plugin: @tongbu.com/tongbu,version=0.1 -> C:\Program Files\Tongbu\Addin\npTongbuAddin.dll [No File] FF Plugin-x32: @tongbu.com/tongbu,version=0.1 -> C:\Program Files\Tongbu\Addin\npTongbuAddin.dll [No File] CHR Extension: (Record Page) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\gajffmccnjdkinpfnnfhpkajphcbnjil [2015-06-30] CHR Extension: (Record Page) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ioldkaaghkinkaahpkieimlclilnkana [2015-07-09] CHR Extension: (Универсальный перевод для Chrome) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\oadboiipflhobonjjffjbfekfjcgkhco [2015-05-23] CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2015-07-10] CHR Extension: (Метабар.Советник) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\dgpnbgjdpnnpcplpojgghlkmjfbpnklj [2013-10-09] CHR HKLM-x32\...\Chrome\Extension: [dgpnbgjdpnnpcplpojgghlkmjfbpnklj] - C:\Program Files (x86)\Common Files\Metabar\crx\mbr-chrome.crx <not found> CHR HKLM-x32\...\Chrome\Extension: [goalojoobcfkhddpbjcmhdceeegmaphh] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - https://clients2.google.com/service/update2/crx S2 Update HypeNet; "C:\Program Files (x86)\HypeNet\updateHypeNet.exe" [X] S4 Update SmarterPower; "C:\Program Files (x86)\SmarterPower\updateSmarterPower.exe" [X] S2 Util HypeNet; "C:\Program Files (x86)\HypeNet\bin\utilHypeNet.exe" [X] S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] 2015-06-30 03:24 - 2015-07-09 18:23 - 00000000 ____D C:\Users\1\AppData\Roaming\32444335-1435616695-5730-4632-A0B3CC80C19F 2015-06-30 03:21 - 2015-06-30 16:34 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol 2015-06-30 03:21 - 2015-06-30 16:34 - 00000258 __RSH C:\ProgramData\ntuser.pol 2015-06-30 03:21 - 2015-06-30 03:21 - 00000144 ____H C:\Users\1\AppData\Local\YandexWorking.bat 2015-06-30 03:21 - 2015-06-30 03:21 - 00000008 __RSH C:\Users\1\ntuser.pol 2015-06-30 03:21 - 2015-04-28 22:43 - 00226608 ____H C:\Users\1\AppData\Local\YаndехWоrking.bаt.exe 2015-06-30 03:20 - 2015-06-02 00:16 - 00814288 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe 2015-06-23 14:35 - 2015-06-25 15:21 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-06-23 14:35 - 2015-06-25 15:21 - 00000000 __SHD C:\ProgramData\Windows 2015-06-19 19:34 - 2015-06-19 19:34 - 00000000 ____D C:\Users\1\AppData\Roaming\MailProducts 2015-06-05 18:37 - 2015-06-05 18:37 - 0260876 _____ (VuuPC Limited) C:\Users\1\AppData\Local\nsa2063.tmp 2015-06-05 17:14 - 2015-06-05 17:13 - 0613255 _____ (CMI Limited) C:\Users\1\AppData\Local\nsbD945.tmp 2015-06-05 17:33 - 2015-06-05 17:33 - 0613255 _____ (CMI Limited) C:\Users\1\AppData\Local\nsp6C22.tmp 2015-06-30 03:21 - 2015-06-30 03:21 - 0000144 ____H () C:\Users\1\AppData\Local\YandexWorking.bat 2015-06-30 03:21 - 2015-04-28 22:43 - 0226608 ____H () C:\Users\1\AppData\Local\YаndехWоrking.bаt.exe Task: {0AC74D0D-04A7-4998-94F4-D654C48DF43B} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files (x86)\Protected Search\ProtectedSearch.exe <==== ATTENTION Task: {7039E1BD-F456-448A-9D8E-0D239D42E173} - \TebeInteresno -> No File <==== ATTENTION Task: C:\Windows\Tasks\Bidaily Synchronize Task[8da6].job => c:\programdata\{672e43f0-4cd9-9856-672e-e43f04cd0fc1}\hqghumeaylnlf.exe <==== ATTENTION FirewallRules: [{08E39BD1-1497-43C9-95B3-4691DA3D11C7}] => (Allow) C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe FirewallRules: [{7083A121-461D-456C-BE4F-7F0B4CF3D55A}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe FirewallRules: [{36626E39-D6B0-46EE-B2E3-E97484F5DB94}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe EmptyTemp:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Готово.
Логи в порядке. С расшифровкой не поможем.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\1\appdata\roaming\duvtesvs\vcidbtfa.exe - Trojan-Downloader.Win32.Dofoil.brlc ( AVAST4: Win32:Dropper-gen [Drp] )
Уважаемый(ая) DinaMuS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.