Здравствуйте! Обращаюсь за помощью, пойман вирус , зашифровались документы (doc, xls, pdf...). Теперь названия документов выглядят так: [email protected] 1.1.0.0.id-SUVVWXYYZZABBCDEEEFGGHIIXYZAAABCCDEE-31.07.2015 10@[email protected]<br><br>Несколько таких моих файлов можно скачать тут: удалено==<br><br>Заранее спасибо за помощь.<br><br>
Последний раз редактировалось thyrex; 06.08.2015 в 16:25.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Andy_N2008, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Irina\appdata\roaming\mystartsearch\uninstallmanager.exe',''); QuarantineFile('C:\Users\Irina\AppData\Roaming\qone8\UninstallManager.exe',''); QuarantineFile('C:\Program Files\RelevantKnowledge\rlvknlg.exe',''); QuarantineFile('C:\Users\Irina\AppData\Local\SmartWeb\SmartWebHelper.exe',''); QuarantineFile('C:\Program Files\globalUpdate\Update\GoogleUpdate.exe',''); QuarantineFile('C:\Users\Irina\AppData\Roaming\XASSLL.exe',''); QuarantineFile('C:\Users\Irina\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\Irina\AppData\Roaming\NZQIGMZL.exe',''); QuarantineFile('C:\Program Files\YTDownloader\YTDownloader.exe',''); DeleteFile('C:\Program Files\YTDownloader\YTDownloader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader','command'); DeleteFile('C:\Users\Irina\AppData\Local\storegid\storegid.exe','32'); DeleteFile('C:\Users\Irina\AppData\Local\storegid\storegidup.exe','32'); DeleteFile('C:\Users\Irina\AppData\Roaming\GetNowUpdater\bin\GetNowUpdater.exe','32'); DeleteFile('c:\progra~1\suptab\search~1.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GetNowUpdater','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegidUpdater','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command'); DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\Users\Irina\AppData\Roaming\NZQIGMZL.exe','32'); DeleteFile('C:\Users\Irina\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\Irina\AppData\Roaming\XASSLL.exe','32'); DeleteFile('C:\Windows\Tasks\XASSLL.job','32'); DeleteFile('C:\Windows\Tasks\SaveSense.job','32'); DeleteFile('C:\Windows\Tasks\NZQIGMZL.job','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32'); DeleteFile('C:\Program Files\globalUpdate\Update\GoogleUpdate.exe','32'); DeleteFile('C:\Windows\system32\Tasks\NZQIGMZL','32'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32'); DeleteFile('C:\Users\Irina\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteFile('C:\Windows\system32\Tasks\XASSLL','32'); DeleteFile('C:\Program Files\RelevantKnowledge\rlvknlg.exe','32'); DeleteFile('C:\Users\Irina\AppData\Roaming\qone8\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{DDB7283D-4E29-4AB8-BFFF-F4794945F189}','32'); DeleteFile('C:\Windows\system32\Tasks\{DCC4E31C-B157-48C9-A48C-79437C303C62}','32'); DeleteFile('C:\Users\Irina\appdata\roaming\mystartsearch\uninstallmanager.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
лог полного сканирования
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
логи FRST
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: C:\Users\Irina\AppData\Local\Temp\dSDPLOPXwR8w.exe C:\Users\Irina\AppData\Local\Temp\e4klIeWG3b2N.exe C:\Users\Irina\AppData\Local\Temp\lfFqalLU9K5j.exe C:\Users\Irina\AppData\Local\Temp\mmqIxZYC8vQm.exe C:\Users\Irina\AppData\Local\Temp\Q8PDzOlKEUFh.exe C:\Users\Irina\AppData\Local\Temp\qGaA9vG4HG1F.exe 2015-03-10 00:30 - 2015-03-10 00:30 - 0005487 _____ () C:\Users\Irina\AppData\Roaming\NZQIGMZL 2015-03-10 00:30 - 2015-03-10 00:30 - 0005487 _____ () C:\Users\Irina\AppData\Roaming\XASSLL OPR Extension: (SuperMegaBest.com) - C:\Users\Irina\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2015-05-26] OPR Extension: (Dolka.ru) - C:\Users\Irina\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-05-30] FF Extension: SuperMegaBest.com - C:\Users\Irina\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-03-27] BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-68593809-917819754-987075067-1183 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-68593809-917819754-987075067-1183 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File SearchScopes: HKU\S-1-5-21-68593809-917819754-987075067-1183 -> 0E6C79744A034C712F72397681B83871 URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500DM002-1BC142_Z2ALYQFFXXXXZ2ALYQFF&ts=1427355959&type=default&q={searchTerms} GroupPolicy: Group Policy on Chrome detected <======= ATTENTION HKLM\...\Run: [] => [X] Task: {1780725D-C628-42AB-AAE4-8B87C1BCCF85} - \Optimizer Pro Schedule -> No File <==== ATTENTION Task: {237E03EE-63EF-46AD-AFAD-66BA2876AD01} - \{DDB7283D-4E29-4AB8-BFFF-F4794945F189} -> No File <==== ATTENTION Task: {482FBDB9-A8E2-4E5B-B378-07E1E880797A} - \APSnotifierPP3 -> No File <==== ATTENTION Task: {4ED77500-C1C9-4442-B0C4-9330212C3C17} - \globalUpdateUpdateTaskMachineUA -> No File <==== ATTENTION Task: {5E453B70-EF90-465C-A5C4-6760B73E750C} - \SaveSense -> No File <==== ATTENTION Task: {66324B31-BD0A-49B6-8834-E5237E4E51E8} - \APSnotifierPP1 -> No File <==== ATTENTION Task: {6AE226C7-6542-4B73-B70D-1034BE45F1DD} - \APSnotifierPP2 -> No File <==== ATTENTION Task: {9F45BF5F-7DAD-4965-8FAA-A0D96A4F26EA} - \globalUpdateUpdateTaskMachineCore -> No File <==== ATTENTION Task: {A16B856B-6C32-4B61-BDF8-562885749DFD} - \{DCC4E31C-B157-48C9-A48C-79437C303C62} -> No File <==== ATTENTION Task: {C3871B89-26C9-4EBE-8D51-DC37064AEEA6} - \DoctorPC_Start -> No File <==== ATTENTION Task: {C8C18CA8-F8A1-4D6D-B6F7-D130C31C7258} - \DoctorPC_Popup -> No File <==== ATTENTION Task: {CFF02F7A-67CA-43FB-842F-DAF60006C61A} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION Reboot:
- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Fixlog.txt
C расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Жаль! Спасибо Вам за помощь!Сообщение от thyrex
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Andy_N2008, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
