Доброго времени, принесли частично заблокированный комп с зашифрованными офисными и медиа файлами (пример в прикрепленном архиве).
Доброго времени, принесли частично заблокированный комп с зашифрованными офисными и медиа файлами (пример в прикрепленном архиве).
Последний раз редактировалось HVV83; 08.11.2015 в 01:27.
Уважаемый(ая) HVV83, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Documents and Settings\All Users\Application Data\ShopperPro\spbihe.js',''); QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll',''); QuarantineFile('C:\Program Files\ShopperPro\ShopperPro.exe',''); QuarantineFile('C:\Program Files\ShopperPro\Updater.exe',''); QuarantineFile('C:\Documents and Settings\Виктор\Application Data\newSI_4396\s_inst.exe',''); DelBHO('{FF103732-4528-4322-AA8B-F7849AB7776B}'); QuarantineFile('C:\Program Files\7Go Games\ScriptHost.dll',''); DelBHO('{A66261FC-B82E-4EC7-9F6D-C2F36B871DF0}'); DelBHO('{aa2fac44-d24d-4fed-9e32-397d138365f1}'); DelBHO('{b4efb02b-cd4a-44b9-b5d9-aa486cdffab6}'); QuarantineFile('C:\Documents and Settings\Виктор\Local Settings\Application Data\Radio_W\prxtbRad2.dll',''); QuarantineFile('C:\Program Files\Cyti Web\CytiWebbho.dll',''); QuarantineFile('C:\Program Files\Speed Analysis 3\ScriptHost.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\ShopperPro\ShopperPro.dll',''); DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}'); DelBHO('{11C8C9C0-D918-44C0-8B5E-D297DA42F2C7}'); DelBHO('{2977C29A-6723-4436-90BB-F7C5FDEF88A1}'); QuarantineFile('C:\Program Files\Free Games (4357)\ScriptHost.dll',''); QuarantineFile('C:\Program Files\Speed Test (4354)\ScriptHost.dll',''); QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Amx.exe',''); QuarantineFile('C:\Program Files\explore.exe',''); QuarantineFile('C:\Program Files\YTDownloader\YTDownloader.exe',''); QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys',''); DeleteService('SPBIUpdd'); SetServiceStart('{06b43f25-e282-4a26-a8ba-987e86000cdf}Gt', 4); SetServiceStart('{14d0f170-74e0-4cbf-843b-3db832216c50}Gt', 4); SetServiceStart('{72046701-0cbb-49f5-bb97-c718dc285f35}Gt', 4); SetServiceStart('{7b7db604-54eb-492b-a629-19e0f0c6ac57}Gt', 4); SetServiceStart('{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}Gt', 4); DeleteService('{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}Gt'); DeleteService('{7b7db604-54eb-492b-a629-19e0f0c6ac57}Gt'); DeleteService('{72046701-0cbb-49f5-bb97-c718dc285f35}Gt'); DeleteService('{14d0f170-74e0-4cbf-843b-3db832216c50}Gt'); DeleteService('{06b43f25-e282-4a26-a8ba-987e86000cdf}Gt'); QuarantineFile('C:\WINDOWS\system32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}Gt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{7b7db604-54eb-492b-a629-19e0f0c6ac57}Gt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{72046701-0cbb-49f5-bb97-c718dc285f35}Gt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{14d0f170-74e0-4cbf-843b-3db832216c50}Gt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{06b43f25-e282-4a26-a8ba-987e86000cdf}Gt.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\{06b43f25-e282-4a26-a8ba-987e86000cdf}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{14d0f170-74e0-4cbf-843b-3db832216c50}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{72046701-0cbb-49f5-bb97-c718dc285f35}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{7b7db604-54eb-492b-a629-19e0f0c6ac57}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gt.sys','32'); DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','32'); DeleteFile('C:\Program Files\YTDownloader\YTDownloader.exe','32'); DeleteFile('C:\Program Files\explore.exe','32'); DeleteFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Amx.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','F5JMWNZTHI'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RDReminder'); DeleteFile('C:\Program Files\Speed Test (4354)\ScriptHost.dll','32'); DeleteFile('C:\Program Files\Free Games (4357)\ScriptHost.dll','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\ShopperPro\ShopperPro.dll','32'); DeleteFile('C:\Program Files\Speed Analysis 3\ScriptHost.dll','32'); DeleteFile('C:\Program Files\Cyti Web\CytiWebbho.dll','32'); DeleteFile('C:\Documents and Settings\Виктор\Local Settings\Application Data\Radio_W\prxtbRad2.dll','32'); DeleteFile('C:\Program Files\7Go Games\ScriptHost.dll','32'); DeleteFile('C:\Documents and Settings\Виктор\Application Data\newSI_4396\s_inst.exe','32'); DeleteFile('C:\WINDOWS\Tasks\newSI_4396.job','32'); DeleteFile('C:\WINDOWS\Tasks\PC Performer_DEFAULT.job','32'); DeleteFile('C:\WINDOWS\Tasks\PC Performer_UPDATES.job','32'); DeleteFile('C:\WINDOWS\Tasks\ShopperPro.job','32'); DeleteFile('C:\WINDOWS\Tasks\ShopperProJSUpd.job','32'); DeleteFile('C:\Program Files\ShopperPro\Updater.exe','32'); DeleteFile('C:\Program Files\ShopperPro\ShopperPro.exe','32'); DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll','32'); DeleteFile('C:\WINDOWS\Tasks\SMupdate1.job','32'); DeleteFile('C:\WINDOWS\Tasks\SMupdate2.job','32'); DeleteFile('C:\WINDOWS\Tasks\SMupdate3.job','32'); DeleteFile('C:\WINDOWS\Tasks\SPBIW_UpdateTask_Time_3335393739333638372d3437415a556c2a3223346c41.job','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\ShopperPro\spbihe.js','32'); DeleteFile('C:\WINDOWS\Tasks\YTDownloader.job','32'); DeleteFile('C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файл "virusinfo_syscheck" система сайта не загружает, пишет что превышает предел на форуме."Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи"
Последний раз редактировалось HVV83; 08.11.2015 в 12:04.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Исправлял свое предыдущее сообщение.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В мануале по созданию лога МВАМ требуется Malwarebytes не Trial, у меня пока только такая. На всякий случай сканирую ею. Принципиально ли использовать платную версию?
В мануале никто не просит сканировать именно платной версией
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово, ЛОГ прикрепил. Окно Malwarebytes не закрывал, предлагает лечить...
Удалите в МВАМ все, кроме
Код:Adware.WhenU, C:\Documents and Settings\Виктор\Рабочий стол\setup все\DAEMON Tools 3.47[1], , [e9aa6318ed9e88ae8eed1f33a26231cf], RiskWare.RAAmmyy, C:\Program Files\Autobat2\AA.exe, , [0e85710abdce78bec1e463b947ba8878],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прикрепил. Также могу предоставить пару файлов: до шифрования и после, с небольшим нюансом.
С расшифровкой не поможем
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://isearch.omiga-plus.com/?type=hp&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://isearch.omiga-plus.com/?type=hp&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282&q={searchTerms} HKU\S-1-5-21-1757981266-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282&q={searchTerms} HKU\S-1-5-21-1757981266-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://isearch.omiga-plus.com/?type=hp&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282 HKU\S-1-5-21-1757981266-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282&q={searchTerms} HKU\S-1-5-21-1757981266-1202660629-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.qip.ru/ie SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282&q={searchTerms} SearchScopes: HKU\S-1-5-21-1757981266-1202660629-839522115-1004 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165 BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll => No File Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll No File Toolbar: HKU\S-1-5-21-1757981266-1202660629-839522115-1004 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-1757981266-1202660629-839522115-1004 -> Radio W Toolbar - {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6} - C:\Documents and Settings\Виктор\Local Settings\Application Data\Radio_W\prxtbRad2.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1419613506&from=obw&uid=WDCXWD2000JB-00REA0_WD-WCANK363428234282 FF Extension: No Name - C:\Documents and Settings\Виктор\Application Data\Mozilla\Firefox\Profiles\tfqekpgi.default\extensions\{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}.xpi [not found] FF Extension: No Name - C:\Documents and Settings\Виктор\Application Data\Mozilla\Firefox\Profiles\tfqekpgi.default\extensions\{746505DC-0E21-4667-97F8-72EA6BCF5EEF} [not found] FF Extension: Cyti Web 1.0.1 - C:\Documents and Settings\Виктор\Application Data\Mozilla\Firefox\Profiles\tfqekpgi.default\Extensions\{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}.xpi [2014-12-26] [not signed] CHR Extension: (7Go) - C:\Documents and Settings\Виктор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gjajpkikblccgefaibcafkfbanllpefi [2014-02-22] CHR Extension: (Speed Analysis 3) - C:\Documents and Settings\Виктор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mbmpjbkgemhgalmeiigcdljkccfcafoj [2014-02-22] CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url> S1 {f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gt; system32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gt.sys [X] 2015-11-06 15:14 - 2015-11-06 15:14 - 0927422 _____ () C:\Program Files\desk.bmp 2015-11-06 15:14 - 2015-11-06 15:14 - 0149043 _____ () C:\Program Files\desk.jpg 2015-11-05 11:36 - 2015-11-06 15:14 - 0000081 _____ () C:\Program Files\WLTZVCHUNR.YJE Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание, что будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прикрепил.
Мусор почистили.
Больше помочь нечем.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 56
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\shopperpro\updater.exe - Trojan-Dropper.Win32.Agent.bjpecr ( DrWEB: Adware.Plugin.209 )
- c:\windows\system32\drivers\{eacdcf9d-1414-4d83-9a1b-eda2e6df739c}gt.sys - not-a-virus:RiskTool.Win32.NetFilter.q ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )
- c:\windows\system32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}gt.sys - not-a-virus:RiskTool.Win32.NetFilter.q ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )
- c:\windows\system32\drivers\{06b43f25-e282-4a26-a8ba-987e86000cdf}gt.sys - not-a-virus:RiskTool.Win32.NetFilter.q ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )
- c:\windows\system32\drivers\{14d0f170-74e0-4cbf-843b-3db832216c50}gt.sys - not-a-virus:RiskTool.Win32.NetFilter.q ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )
- c:\windows\system32\drivers\{7b7db604-54eb-492b-a629-19e0f0c6ac57}gt.sys - not-a-virus:RiskTool.Win32.NetFilter.q ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )
- c:\windows\system32\drivers\{72046701-0cbb-49f5-bb97-c718dc285f35}gt.sys - not-a-virus:RiskTool.Win32.NetFilter.q ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )
Уважаемый(ая) HVV83, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.