Помогите расшифровать вайлы cripttt
Помогите расшифровать вайлы cripttt
Уважаемый(ая) Алексей Цыповский, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('innfd_1_10_0_14'); StopService('qknfd'); DeleteService('innfd_1_10_0_14'); DeleteService('qknfd'); QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-5.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-7.exe',''); QuarantineFile('C:\Program Files (x86)\Video Saver\g1mkSiC.exe',''); QuarantineFile('C:\Users\Данила\AppData\Local\PriceMeter\TEMP\pricemeter.exe',''); QuarantineFile('C:\Users\Данила\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Users\Данила\AppData\Roaming\Dorrible\Ribble\d.exe',''); QuarantineFile('C:\Users\Данила\AppData\Roaming\oursurfing\UninstallManager.exe',''); QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys',''); QuarantineFile('C:\Windows\system32\drivers\qknfd.sys',''); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-5.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-7.exe','32'); DeleteFile('C:\Program Files (x86)\Video Saver\g1mkSiC.exe','32'); DeleteFile('C:\Users\Данила\AppData\Local\PriceMeter\TEMP\pricemeter.exe','32'); DeleteFile('C:\Users\Данила\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\Данила\AppData\Roaming\Dorrible\Ribble\d.exe','32'); DeleteFile('C:\Users\Данила\AppData\Roaming\oursurfing\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32'); DeleteFile('C:\Windows\system32\Tasks\526617a0-6ef3-46e1-bfe9-84dfee40c326-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\526617a0-6ef3-46e1-bfe9-84dfee40c326-5','64'); DeleteFile('C:\Windows\system32\Tasks\526617a0-6ef3-46e1-bfe9-84dfee40c326-7','64'); DeleteFile('C:\Windows\system32\Tasks\pricemetertask','64'); DeleteFile('C:\Windows\system32\Tasks\Ribble','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for Video Saver','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for Video Saver2','64'); DeleteFile('C:\Windows\system32\Tasks\{A01E34E3-2164-4817-AC7C-5DFCC5719F61}','64'); DeleteFile('C:\Windows\Tasks\Update Service for Video Saver.job','32'); DeleteFile('C:\Windows\Tasks\Update Service for Video Saver2.job','32'); RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
- Сделайте лог Check Browsers' LNK и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вот два отчета из Adw и Check_Browsers
Удалите ярлык:
C:\Users\Данила\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Маil.Ru.lnk
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Спасибо за то что помогаете. Надеюсь все получиться. Вот файл после очистки.
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
+ пришлите образцы поврежденных файлов
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот
- - - - -Добавлено - - - - -
Файл в архиве
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: CHR HKU\S-1-5-21-2545041856-702347858-3599998081-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKLM-x32 - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File FF Plugin-x32: @altergeo.ru/Html5loc -> C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\npHtml5loc.dll [No File] FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File] FF Plugin HKU\S-1-5-21-2545041856-702347858-3599998081-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File] FF Plugin HKU\S-1-5-21-2545041856-702347858-3599998081-1000: @mail.ru/GameCenter -> C:\Users\Данила\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File] FF Extension: No Name - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found] FF Extension: No Name - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found] FF Extension: No Name - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found] FF Extension: No Name - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found] CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx Folder: C:\Users\Данила\AppData\Local\GHISLER Folder: C:\Users\Данила\AppData\Local\DragOn Folder: C:\ProgramData\BOINC Folder: C:\Windows\SysWOW64\TimeCtrlLibs Folder: C:\Users\Данила\AppData\Local\screentk C:\Users\Данила\AppData\Local\Temp\k017wjik.dll C:\Users\Данила\AppData\Local\Temp\offer-C2FD3161-50B8-4813-9A11-351704E3366A.exe C:\Users\Данила\AppData\Local\Temp\SBtSyshPfMQK.exe C:\Users\Данила\AppData\Local\Temp\Setup-yabrowser.exe C:\Users\Данила\AppData\Local\Temp\sRntG1p9ES1q.exe C:\Users\Данила\AppData\Local\Temp\tmpEA10.exe C:\Users\Данила\AppData\Local\Temp\UmmyRadio.exe C:\Users\Данила\AppData\Local\Temp\UmmyVideoDownloader.exe C:\Users\Данила\AppData\Local\Temp\VMzqiIjb1pql.exe C:\Users\Данила\AppData\Local\Temp\Y65laB9Y0PNl.exe C:\Users\Данила\AppData\Local\Temp\YandexWorking.exe Task: {175799DC-E7CB-486A-9FFB-A209CD8C7F52} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-1-7 -> No File <==== ATTENTION Task: {532A9EDB-ACE0-467C-B964-4407670A614D} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-1-6 -> No File <==== ATTENTION Task: {5E1594CD-D270-44A3-9A1E-F152CB9DF1EC} - \{A01E34E3-2164-4817-AC7C-5DFCC5719F61} -> No File <==== ATTENTION Task: {BACA762A-40E0-44D4-8AAB-9C928E426946} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-7 -> No File <==== ATTENTION Task: {D8D5CC3D-97CD-400F-817A-091F20DA024D} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-5 -> No File <==== ATTENTION Task: {F428D13C-CCB1-47B3-94AE-2DE72A2C8AC7} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-6 -> No File <==== ATTENTION Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Обратите внимание замечаны ошибки в файловой системе:
2016-02-27 19:57 - 2016-02-27 19:57 - 00000000 __SHD C:\found.003
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Прешлось в rar сделать привышал размер
Проверьте ЛС
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\данила\appdata\local\yandex\browser.bat - not-a-virus:AdWare.BAT.Clicker.af
Уважаемый(ая) Алексей Цыповский, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.