Помогите [not-a-virus:AdWare.BAT.Clicker.af ]

**Алексей Цыповский** · 20.03.2016, 17:05

Помогите расшифровать вайлы cripttt

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.03.2016, 17:06

Уважаемый(ая) Алексей Цыповский, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 21.03.2016, 00:40

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 StopService('innfd_1_10_0_14');
 StopService('qknfd');
 DeleteService('innfd_1_10_0_14');
 DeleteService('qknfd');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-1-7.exe','');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-5.exe','');
 QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-7.exe','');
 QuarantineFile('C:\Program Files (x86)\Video Saver\g1mkSiC.exe','');
 QuarantineFile('C:\Users\Данила\AppData\Local\PriceMeter\TEMP\pricemeter.exe','');
 QuarantineFile('C:\Users\Данила\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\Users\Данила\AppData\Roaming\Dorrible\Ribble\d.exe','');
 QuarantineFile('C:\Users\Данила\AppData\Roaming\oursurfing\UninstallManager.exe','');
 QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
 QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-1-7.exe','32');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-5.exe','32');
 DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-7.exe','32');
 DeleteFile('C:\Program Files (x86)\Video Saver\g1mkSiC.exe','32');
 DeleteFile('C:\Users\Данила\AppData\Local\PriceMeter\TEMP\pricemeter.exe','32');
 DeleteFile('C:\Users\Данила\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Users\Данила\AppData\Roaming\Dorrible\Ribble\d.exe','32');
 DeleteFile('C:\Users\Данила\AppData\Roaming\oursurfing\UninstallManager.exe','32');
 DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
 DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
 DeleteFile('C:\Windows\system32\Tasks\526617a0-6ef3-46e1-bfe9-84dfee40c326-1-7','64');
 DeleteFile('C:\Windows\system32\Tasks\526617a0-6ef3-46e1-bfe9-84dfee40c326-5','64');
 DeleteFile('C:\Windows\system32\Tasks\526617a0-6ef3-46e1-bfe9-84dfee40c326-7','64');
 DeleteFile('C:\Windows\system32\Tasks\pricemetertask','64');
 DeleteFile('C:\Windows\system32\Tasks\Ribble','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Video Saver','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Video Saver2','64');
 DeleteFile('C:\Windows\system32\Tasks\{A01E34E3-2164-4817-AC7C-5DFCC5719F61}','64');
 DeleteFile('C:\Windows\Tasks\Update Service for Video Saver.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Video Saver2.job','32');
 RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

- Сделайте лог Check Browsers' LNK и приложите его в теме.

**Алексей Цыповский** · 21.03.2016, 19:00

Вот два отчета из Adw и Check_Browsers

SQ · 22.03.2016, 00:22

Удалите ярлык:

C:\Users\Данила\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Маil.Ru.lnk

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**Алексей Цыповский** · 22.03.2016, 08:11

Спасибо за то что помогаете. Надеюсь все получиться. Вот файл после очистки.

SQ · 22.03.2016, 10:26

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**thyrex** · 22.03.2016, 15:21

+ пришлите образцы поврежденных файлов

**Алексей Цыповский** · 22.03.2016, 19:13

Вот

- - - - -Добавлено - - - - -

Файл в архиве

SQ · 22.03.2016, 22:13

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
CHR HKU\S-1-5-21-2545041856-702347858-3599998081-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKLM-x32 - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Plugin-x32: @altergeo.ru/Html5loc -> C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\npHtml5loc.dll [No File]
FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
FF Plugin HKU\S-1-5-21-2545041856-702347858-3599998081-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
FF Plugin HKU\S-1-5-21-2545041856-702347858-3599998081-1000: @mail.ru/GameCenter -> C:\Users\Данила\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
FF Extension: No Name - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF Extension: No Name - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
Folder: C:\Users\Данила\AppData\Local\GHISLER
Folder: C:\Users\Данила\AppData\Local\DragOn
Folder: C:\ProgramData\BOINC
Folder: C:\Windows\SysWOW64\TimeCtrlLibs
Folder: C:\Users\Данила\AppData\Local\screentk
C:\Users\Данила\AppData\Local\Temp\k017wjik.dll
C:\Users\Данила\AppData\Local\Temp\offer-C2FD3161-50B8-4813-9A11-351704E3366A.exe
C:\Users\Данила\AppData\Local\Temp\SBtSyshPfMQK.exe
C:\Users\Данила\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Данила\AppData\Local\Temp\sRntG1p9ES1q.exe
C:\Users\Данила\AppData\Local\Temp\tmpEA10.exe
C:\Users\Данила\AppData\Local\Temp\UmmyRadio.exe
C:\Users\Данила\AppData\Local\Temp\UmmyVideoDownloader.exe
C:\Users\Данила\AppData\Local\Temp\VMzqiIjb1pql.exe
C:\Users\Данила\AppData\Local\Temp\Y65laB9Y0PNl.exe
C:\Users\Данила\AppData\Local\Temp\YandexWorking.exe
Task: {175799DC-E7CB-486A-9FFB-A209CD8C7F52} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-1-7 -> No File <==== ATTENTION
Task: {532A9EDB-ACE0-467C-B964-4407670A614D} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-1-6 -> No File <==== ATTENTION
Task: {5E1594CD-D270-44A3-9A1E-F152CB9DF1EC} - \{A01E34E3-2164-4817-AC7C-5DFCC5719F61} -> No File <==== ATTENTION
Task: {BACA762A-40E0-44D4-8AAB-9C928E426946} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-7 -> No File <==== ATTENTION
Task: {D8D5CC3D-97CD-400F-817A-091F20DA024D} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-5 -> No File <==== ATTENTION
Task: {F428D13C-CCB1-47B3-94AE-2DE72A2C8AC7} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-6 -> No File <==== ATTENTION
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Обратите внимание замечаны ошибки в файловой системе:

2016-02-27 19:57 - 2016-02-27 19:57 - 00000000 __SHD C:\found.003

**Алексей Цыповский** · 22.03.2016, 23:37

Прешлось в rar сделать привышал размер

**thyrex** · 26.03.2016, 00:21

Проверьте ЛС

**CyberHelper** · 26.03.2016, 00:31

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\users\данила\appdata\local\yandex\browser.bat - not-a-virus:AdWare.BAT.Clicker.af

Помогите [not-a-virus:AdWare.BAT.Clicker.af ] (заявка № 198506)

Опции темы