Здравствуйте. Пришло мне письмо с вложенныи файлом "карточка предприятия.zip" К вечеру зашифровал все jpg, xls и doc. Все рекомендованные процедуры выполнил файлы прилагаю. Заранее спасибо.
Здравствуйте. Пришло мне письмо с вложенныи файлом "карточка предприятия.zip" К вечеру зашифровал все jpg, xls и doc. Все рекомендованные процедуры выполнил файлы прилагаю. Заранее спасибо.
Уважаемый(ая) Faster*63, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Неужели не сможете помочь? Помогите, ПОЖАЛУЙСТА...
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Paul\appdata\roaming\pricef~1\update~1\update~1.exe',''); QuarantineFile('C:\Users\Paul\AppData\Local\Microsoft\Windows\toolbar.exe',''); QuarantineFile('C:\Users\Paul\AppData\Local\PriceFountain\pricefountain.exe',''); QuarantineFile('C:\Users\Paul\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\Paul\AppData\Roaming\Browsers\exe.xoferif.bat',''); DeleteFile('C:\Users\Paul\AppData\Roaming\Browsers\exe.xoferif.bat','32'); DeleteFile('C:\Users\Paul\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\Paul\AppData\Local\PriceFountain\pricefountain.exe','32'); DeleteFile('C:\Users\Paul\AppData\Local\Microsoft\Windows\toolbar.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SystemScript','64'); DeleteFile('C:\Windows\system32\Tasks\PFExe','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','test'); DeleteFile('C:\Program Files (x86)\test\Bind.exe','32'); DeleteFile('D:\IQIYI Video\Common\HCDNClient.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HCDNClient'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32'); DeleteFile('C:\Users\Paul\appdata\roaming\pricef~1\update~1\update~1.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Сделайте лог CheckBrowsers' Lnk
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал
Определитесь с местом где будете продолжать лечение.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Я с Вами... Что делаем?
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал...
Я разве такой лог просил после работы ClearLNK прислать?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Извините. Видимо что то не так перенёс((
- - - - -Добавлено - - - - -
Опять, кстати, пришло на мыло письмо с данным вирусом в формате *.rar. Мне с ним что нибудь делать. Он Вам нужен для исследования??
Последний раз редактировалось Faster*63; 18.02.2016 в 12:49.
Удалите в МВАМ все, кромеКод:RiskWare.Tool.CK, C:\Windows\KMService.exe, 1948, , [bc09e37e7a1ff83eb88bb15ab74be51b] Папки: 2 Rogue.Multiple, C:\Users\Paul\AppData\Local\QIP, , [03c295cc19801224fe751a9c778b7789], Rogue.Multiple, C:\Users\Paul\AppData\Local\QIP\QIP Shot, , [03c295cc19801224fe751a9c778b7789], Файлы: 17 RiskWare.Tool.CK, C:\Windows\KMService.exe, , [bc09e37e7a1ff83eb88bb15ab74be51b], CrackTool.Agent, C:\Program Files (x86)\AVS4YOU\AVSVideoConverter\avs4you.all.products.activator.v1.3b-mpt\avs4you.all.products.activator.v1.3b-MPT.exe, , [f0d559080990f93d670d32763ec2fc04], PUP.Optional.InstallMonetizer, C:\Users\Paul\AppData\Local\Temp\nsv908C.tmp\nsManeshWeb.dll, , [bf06cc951b7e0036da6d3af4649eaf51], PUP.Optional.Bandoo.AppFlsh, C:\Users\Paul\AppData\Local\Temp\DTX\Reporting\ReportingHelper.dll, , [b60fd190d3c6e155b34b8c7d53b2f20e], PUP.Optional.Bandoo.AppFlsh, C:\Users\Paul\Downloads\jZipSetup-r113-n-bf.exe, , [8144ff620495d066a76705b032cfaf51], PUP.Optional.InstallCore, C:\Users\Paul\Downloads\DownloadManagerSetup(1).exe, , [11b4461b64353ef8648d6edbef1242be], PUP.Optional.JumpyApps, C:\Users\Paul\Downloads\DownloadManagerSetup.exe, , [7550045d5148be78e50663515ca4c43c], HackTool.FilePatcher, C:\Users\Paul\Downloads\PPT to Video Scout 1.43\Crack.exe, , [9a2b65fcb0e90b2b9d11d8a06c95e818], RiskWare.Tool.HCK, C:\Users\Paul\Downloads\maya2015\xf-adsk2015_x64.exe, , [566f72ef25740234d9aa5fa5719053ad], RiskWare.FilePatcher, C:\Program Files\Soft Gold\ABViewer 10\Patch-REPT.exe, , [e4e1520f0a8f9a9ce290423820e13ec2], PUP.Optional.OpenCandy, D:\Downloads\winamp563_full_emusic-7plus_all.exe, , [4481035e6b2ec274d77fba4413f1ad53],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Как то так)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Во вложении, на всякий случай, положил и "старые" логи, которые делал дней 10 тому назад. Спасибо.
Лог FRST.txt пустой. Переделывайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Переделал, извините.
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKLM-x32\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-2961700726-2720485833-316488474-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Handler: WSAMVCUchrome - {086BD280-4613-43B5 - No File C:\Users\Paul\AppData\Local\Temp\mailruhomesearchvbm.exe C:\Users\Paul\AppData\Local\Temp\MailRuUpdater.exe C:\Users\Paul\AppData\Local\Temp\AmigoDistrib.exe Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот!
Уважаемый(ая) Faster*63, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.