cripttt вирус SHTODELATVAM.txt помогите пожалуйста
посоветовали обратиться к вам. все файлы с разрешением docx и картинки поменяли своё разрешение.
cripttt вирус SHTODELATVAM.txt помогите пожалуйста
посоветовали обратиться к вам. все файлы с разрешением docx и картинки поменяли своё разрешение.
Уважаемый(ая) vasia_vk, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
сделал как написано в правилах
если что-то не так помогите плиз
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\WinTsks\WinTsks\WinTsks.exe',''); QuarantineFile('C:\Users\Vsia_vk\ReportSender\ReportSender.exe',''); QuarantineFile('C:\Users\Vsia_vk\AppData\Roaming\FreeVPN\FreeVPN.exe',''); DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}'); QuarantineFile('C:\Users\Vsia_vk\AppData\Local\ZetaGamesViewer\zetaviewer.exe',''); QuarantineFile('C:\Users\Vsia_vk\AppData\Local\ZetaGamesNews\zeta.exe',''); DeleteService('TSSKX64'); DeleteService('tsnethlpx64'); DeleteService('SRepairDrv'); DeleteService('softaal'); DeleteService('QMUdisk'); DeleteService('WinSvces'); DeleteService('BugreportW'); QuarantineFile('C:\Program Files (x86)\WinSvces\WinSvces\WinSvces.exe',''); QuarantineFile('C:\Program Files (x86)\SpeedSearchesbnd\Bugreportauclt.exe',''); DeleteFile('C:\Program Files (x86)\SpeedSearchesbnd\Bugreportauclt.exe','32'); DeleteFile('C:\Program Files (x86)\WinSvces\WinSvces\WinSvces.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys','32'); DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32'); DeleteFile('C:\Users\Vsia_vk\AppData\Local\Amigo\Application\amigo.exe','32'); DeleteFile('C:\Users\Vsia_vk\AppData\Local\ZetaGamesNews\zeta.exe','32'); DeleteFile('C:\Users\Vsia_vk\AppData\Local\ZetaGamesViewer\zetaviewer.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZetaGamesViewer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZetaGamesNews','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command'); DeleteFile('C:\Program Files (x86)\Common Files\Baidu\WebSafe\WebMonBHO.dll','32'); DeleteFile('C:\Users\Vsia_vk\AppData\Roaming\FreeVPN\FreeVPN.exe','32'); DeleteFile('C:\Users\Vsia_vk\ReportSender\ReportSender.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\ReportSender','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN','64'); DeleteFile('C:\Windows\system32\Tasks\WinTsks','64'); DeleteFile('C:\Program Files (x86)\WinTsks\WinTsks\WinTsks.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог Addition.txt почему не прислали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
pack1.zip
переделал в первый раз не было этого файла (может я что сделал не так первый раз)
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: AppInit_DLLs: C:\ProgramData\afoir\TempQuadlab.dll => No File GroupPolicy: Restriction - Chrome <======= ATTENTION BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKLM-x32 - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-995752343-2921414450-1411635208-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF SelectedSearchEngine: hohosearch FF Homepage: hxxp://www.hohosearch.com/?ts=AHEqA38rBX8nAE..&v=20160409&uid=30EC703F908BD1EBB26C7FEA4AAFB44A&ptid=amz&mode=ffseng CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445", "hxxp://www.hohosearch.com/?mode=nnnb&ptid=amz&uid=30EC703F908BD1EBB26C7FEA4AAFB44A&v=20160409&ts=AHEqA38rBX8nAE.." CHR DefaultSearchURL: Default -> hxxp://www.hohosearch.com/chrome.php?q={searchTerms}&ts=AHEqA38rBX8nAE..&v=20160409&uid=30EC703F908BD1EBB26C7FEA4AAFB44A&ptid=amz&mode=nnnb CHR DefaultSearchKeyword: Default -> hohosearch CHR Extension: (PhoenixGuard v2.0 - бесплатный антивирус) - C:\Users\Vsia_vk\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkooappjeoniffjmoplbagpngedkckpl [2016-04-10] CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.so-v.com/?type=ll&uid=38d5389a-72d7-469a-9a53-4b1eb3352437 OPR Extension: (Quick Searcher) - C:\Users\Vsia_vk\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecnphlgnajanjnkcmbpancdjoidceilk [2016-03-04] 2016-04-10 12:28 - 2016-04-10 20:32 - 00000000 ____D C:\Users\Все пользователи\TXQMPC 2016-04-10 12:28 - 2016-04-10 20:32 - 00000000 ____D C:\ProgramData\TXQMPC 2016-04-10 12:28 - 2016-04-10 12:28 - 00005120 _____ C:\Users\Vsia_vk\AppData\Roaming\GiftBag.db 2016-04-10 12:28 - 2016-04-10 12:28 - 00000000 ____D C:\Program Files\Common Files\Tencent 2016-04-10 12:27 - 2016-04-10 14:32 - 00087800 _____ (电脑管家) C:\Windows\system32\Drivers\TFsFltX64.sys 2016-04-10 12:27 - 2016-04-10 14:32 - 00045304 _____ (电脑管家) C:\Windows\system32\Drivers\TSSKX64.sys 2016-04-10 12:25 - 2016-04-10 12:25 - 00000000 ____D C:\Program Files (x86)\Tencent 2016-04-10 12:24 - 2016-04-10 20:32 - 00000000 ____D C:\Users\Все пользователи\Tencent 2016-04-10 12:24 - 2016-04-10 20:32 - 00000000 ____D C:\ProgramData\Tencent 2016-04-10 12:24 - 2016-04-10 19:21 - 00000000 ____D C:\Users\Vsia_vk\AppData\Roaming\Tencent 2016-04-10 12:17 - 2016-04-10 12:17 - 00000000 ____D C:\Program Files (x86)\WinTsks 2016-04-10 12:17 - 2016-04-10 12:17 - 00000000 ____D C:\Program Files (x86)\WinSvces 2016-04-10 12:10 - 2016-04-10 19:36 - 00000000 ____D C:\Users\Vsia_vk\AppData\Local\ZetaGamesViewer 2016-04-10 12:10 - 2016-04-10 12:10 - 00000000 ____D C:\Users\Vsia_vk\AppData\Roaming\phoenixguard 2016-04-10 12:09 - 2016-04-10 12:09 - 00000000 ____D C:\Users\Vsia_vk\AppData\Roaming\everysale4 2016-03-27 11:10 - 2016-04-10 13:16 - 00000000 ____D C:\Users\Все пользователи\SWdMS 2016-03-27 11:10 - 2016-04-10 13:16 - 00000000 ____D C:\ProgramData\SWdMS 2016-03-13 17:29 - 2016-03-13 17:29 - 00000000 ____D C:\Users\Все пользователи\VixvbN 2016-03-13 17:29 - 2016-03-13 17:29 - 00000000 ____D C:\ProgramData\VixvbN 2016-03-13 17:28 - 2016-03-13 17:28 - 00000000 ____D C:\Users\Все пользователи\tvfNErc 2016-03-13 17:28 - 2016-03-13 17:28 - 00000000 ____D C:\Users\Все пользователи\sskIpCKSv 2016-03-13 17:28 - 2016-03-13 17:28 - 00000000 ____D C:\Users\Все пользователи\cdEyDiDcbQ 2016-03-13 17:28 - 2016-03-13 17:28 - 00000000 ____D C:\ProgramData\tvfNErc 2016-03-13 17:28 - 2016-03-13 17:28 - 00000000 ____D C:\ProgramData\sskIpCKSv 2016-03-13 17:28 - 2016-03-13 17:28 - 00000000 ____D C:\ProgramData\cdEyDiDcbQ 2016-03-11 22:49 - 2016-04-10 19:02 - 00000000 ____D C:\Users\Все пользователи\TExSPfoG 2016-03-11 22:49 - 2016-04-10 19:02 - 00000000 ____D C:\ProgramData\TExSPfoG 2016-03-11 22:49 - 2016-03-11 22:49 - 00000000 ____D C:\Users\Все пользователи\iyiTLu 2016-03-11 22:49 - 2016-03-11 22:49 - 00000000 ____D C:\ProgramData\iyiTLu 2016-03-10 09:25 - 2016-04-10 16:01 - 00000000 ____D C:\Users\Все пользователи\CTGjurgC 2016-03-10 09:25 - 2016-04-10 16:01 - 00000000 ____D C:\ProgramData\CTGjurgC 2016-03-10 09:25 - 2016-03-10 09:25 - 00000000 ____D C:\Users\Все пользователи\JkqdCJpYJW 2016-03-10 09:25 - 2016-03-10 09:25 - 00000000 ____D C:\ProgramData\JkqdCJpYJW 2016-03-10 09:24 - 2016-04-10 19:02 - 00000000 ____D C:\Users\Все пользователи\ftPucwFOu 2016-03-10 09:24 - 2016-04-10 19:02 - 00000000 ____D C:\ProgramData\ftPucwFOu 2016-03-10 09:24 - 2016-03-10 09:24 - 00000000 ____D C:\Users\Все пользователи\YvMqbTko 2016-03-10 09:24 - 2016-03-10 09:24 - 00000000 ____D C:\ProgramData\YvMqbTko 2016-03-08 17:51 - 2016-03-08 17:51 - 00000000 ____D C:\Users\Все пользователи\WdjdwZ 2016-03-08 17:51 - 2016-03-08 17:51 - 00000000 ____D C:\Users\Все пользователи\FiZDPRp 2016-03-08 17:51 - 2016-03-08 17:51 - 00000000 ____D C:\Users\Все пользователи\csGlCjwZHk 2016-03-08 17:51 - 2016-03-08 17:51 - 00000000 ____D C:\Users\Все пользователи\BMAiYox 2016-03-08 17:51 - 2016-03-08 17:51 - 00000000 ____D C:\ProgramData\WdjdwZ 2016-03-08 17:51 - 2016-03-08 17:51 - 00000000 ____D C:\ProgramData\FiZDPRp 2016-03-08 17:51 - 2016-03-08 17:51 - 00000000 ____D C:\ProgramData\csGlCjwZHk 2016-03-08 17:51 - 2016-03-08 17:51 - 00000000 ____D C:\ProgramData\BMAiYox 2016-03-07 14:22 - 2016-03-07 14:22 - 00000000 ____D C:\Program Files\Common Files\mxapdoxf 2016-03-07 13:55 - 2016-03-07 13:55 - 00219144 _____ (Baidu) C:\Windows\SysWOW64\Drivers\bd0002.sys 2016-03-07 13:55 - 2016-03-07 13:55 - 00203280 _____ (Baidu) C:\Windows\SysWOW64\Drivers\bd0001.sys 2016-03-07 13:39 - 2016-04-10 19:55 - 00000000 ____D C:\Users\Все пользователи\Baidu 2016-03-07 13:39 - 2016-04-10 19:55 - 00000000 ____D C:\ProgramData\Baidu 2016-03-07 13:39 - 2016-03-07 13:43 - 00000000 ____D C:\Users\Vsia_vk\AppData\Roaming\Baidu 2016-03-07 13:35 - 2016-03-13 17:36 - 00000000 ____D C:\Program Files (x86)\MTV20160128 2016-03-07 13:01 - 2016-03-07 13:01 - 00000000 ____D C:\Users\Все пользователи\ynjxFMn 2016-03-07 13:01 - 2016-03-07 13:01 - 00000000 ____D C:\Users\Все пользователи\JsJZyAxT 2016-03-07 13:01 - 2016-03-07 13:01 - 00000000 ____D C:\Users\Все пользователи\hgHTGw 2016-03-07 13:01 - 2016-03-07 13:01 - 00000000 ____D C:\Users\Все пользователи\gHckDk 2016-03-07 13:01 - 2016-03-07 13:01 - 00000000 ____D C:\ProgramData\ynjxFMn 2016-03-07 13:01 - 2016-03-07 13:01 - 00000000 ____D C:\ProgramData\JsJZyAxT 2016-03-07 13:01 - 2016-03-07 13:01 - 00000000 ____D C:\ProgramData\hgHTGw 2016-03-07 13:01 - 2016-03-07 13:01 - 00000000 ____D C:\ProgramData\gHckDk 2016-03-05 16:11 - 2016-03-05 16:11 - 00000000 ____D C:\Users\Все пользователи\ZAospn 2016-03-05 16:11 - 2016-03-05 16:11 - 00000000 ____D C:\Users\Все пользователи\YutWKrA 2016-03-05 16:11 - 2016-03-05 16:11 - 00000000 ____D C:\Users\Все пользователи\oSFlvnSCOH 2016-03-05 16:11 - 2016-03-05 16:11 - 00000000 ____D C:\Users\Все пользователи\gUoaVLWfe 2016-03-05 16:11 - 2016-03-05 16:11 - 00000000 ____D C:\ProgramData\ZAospn 2016-03-05 16:11 - 2016-03-05 16:11 - 00000000 ____D C:\ProgramData\YutWKrA 2016-03-05 16:11 - 2016-03-05 16:11 - 00000000 ____D C:\ProgramData\oSFlvnSCOH 2016-03-05 16:11 - 2016-03-05 16:11 - 00000000 ____D C:\ProgramData\gUoaVLWfe 2016-03-04 12:18 - 2016-03-04 12:18 - 00000000 ____D C:\Windows\Azart 2016-03-04 12:14 - 2016-04-10 16:02 - 00000000 ____D C:\Users\Vsia_vk\AppData\Roaming\FreeVPN 2016-03-04 12:10 - 2016-03-04 12:10 - 00000000 ____D C:\Users\Все пользователи\kSMqcAtZKU 2016-03-04 12:10 - 2016-03-04 12:10 - 00000000 ____D C:\Users\Все пользователи\hdlUjTH 2016-03-04 12:10 - 2016-03-04 12:10 - 00000000 ____D C:\ProgramData\kSMqcAtZKU 2016-03-04 12:10 - 2016-03-04 12:10 - 00000000 ____D C:\ProgramData\hdlUjTH 2016-04-10 19:38 - 2015-12-31 11:23 - 00000000 ____D C:\Users\Vsia_vk\AppData\Local\Amigo 2016-04-10 19:36 - 2015-12-31 11:06 - 00000000 ____D C:\Users\Vsia_vk\AppData\Local\ZetaGamesNews C:\Users\Vsia_vk\AppData\Local\Temp\int_mm_s.exe C:\Users\Vsia_vk\AppData\Local\Temp\lfs.exe C:\Users\Vsia_vk\AppData\Local\Temp\MailRuUpdater.exe C:\Users\Vsia_vk\AppData\Local\Temp\nrn_tmp.exe C:\Users\Vsia_vk\AppData\Local\Temp\nsxCF0.tmp.exe C:\Users\Vsia_vk\AppData\Local\Temp\spt_mm_s.exe FirewallRules: [{C4F58538-6557-4A9C-ADAD-552A1AA0D5EF}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe FirewallRules: [TCP Query User{C9E5B2F6-F381-4D84-A2E8-15E5FCA7C84F}C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [UDP Query User{15D42111-635C-4CA2-B2FC-D82C7DF00338}C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{F8D5D5B1-19D4-446F-8741-B669D1E6BCAB}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{0E5004E6-30C7-439E-8BBF-63E29C15CB47}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{0E799BD0-3784-491D-BDE6-09DBC0AFA7B1}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{A82D0048-19C2-4858-B542-023D52CA0D7B}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Task: {1B75B1D3-92A1-453A-9C73-01B2A8BA22A6} - \PhoenixBrowser Updater -> No File <==== ATTENTION Task: {619F8A7F-55BE-4261-B1D0-E463D9946CBA} - \WinTsks -> No File <==== ATTENTION Task: {AE793BB4-7053-469B-8AD1-108CCD61BD72} - \Microsoft\Windows\SystemRestore\FreeVPN -> No File <==== ATTENTION Task: {DDA460E9-D48A-4767-B5E0-E340C56A4CFB} - \Microsoft\Windows\Multimedia\ReportSender -> No File <==== ATTENTION Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Образцы поврежденных файлов пришлите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Проверьте ЛС
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
всё получилось но пока еще не все разшифровал, БОЛЬШОЕ СПАСИБО ВАМ ЗА ВАШУ ПОМОЩЬ
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) vasia_vk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.