Здравствуйте. Файлы заменены на [email protected] 1.1.0.0.id-.randomname-*.cbf
Сможете помочь? И как произвести оплату?
Здравствуйте. Файлы заменены на [email protected] 1.1.0.0.id-.randomname-*.cbf
Сможете помочь? И как произвести оплату?
Уважаемый(ая) Drozhd_r, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\111\AppData\Local\Microsoft\Windows\system.vbs',''); QuarantineFile('C:\Users\111\AppData\Local\Microsoft\Extensions\safebrowser.exe',''); QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe',''); QuarantineFile('C:\Users\111\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\111\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe',''); DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\Users\111\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\PennyBee.job','32'); DeleteFile('C:\Windows\Tasks\Price Fountain.job','32'); DeleteFile('C:\Users\111\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\system32\Tasks\appdistrib','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32'); DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','32'); DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32'); DeleteFile('C:\Windows\system32\Tasks\PennyBee','32'); DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32'); DeleteFile('C:\Users\111\AppData\Local\Microsoft\Extensions\safebrowser.exe','32'); DeleteFile('C:\Users\111\AppData\Local\Microsoft\Windows\system.vbs','32'); DeleteFile('C:\Windows\system32\Tasks\SystemScript','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Запрошенный карантин отправил. Вот новы логи:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
архив готов.
Добрый вечер. Судя по долгому молчанию восстановить файлы не получится?
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKLM\...\Run: [] => [X] HKLM\...\Run: [pr] => C:\Program Files\МICROSОFТ-NET.exe CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.certified-toolbar.com?si=85053&st=home&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=85053&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&st=chrome&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://babyuser.net/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=85053&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&st=chrome&q= HKU\S-1-5-21-4081374541-4208040571-904823648-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=85053&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&st=chrome&q= HKU\S-1-5-21-4081374541-4208040571-904823648-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.certified-toolbar.com?si=85053&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&st=chrome&q= HKU\S-1-5-21-4081374541-4208040571-904823648-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=85053&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&st=chrome&q= HKU\S-1-5-21-4081374541-4208040571-904823648-1000\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = hxxp://search.certified-toolbar.com?si=85053&st=home&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F SearchScopes: HKLM -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.certified-toolbar.com?si=85053&st=bs&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&q={searchTerms} SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.certified-toolbar.com?si=85053&st=bs&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&q={searchTerms} SearchScopes: HKU\S-1-5-21-4081374541-4208040571-904823648-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3331617&octid=EB_ORIGINAL_CTID&ISID=MEC305AFC-DA82-4044-94C9-58F2395E5891&SearchSource=58&CUI=&UM=6&UP=SP49EF4BB2-4B24-4E19-9B01-3A2E56C88023&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-4081374541-4208040571-904823648-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3331617&octid=EB_ORIGINAL_CTID&ISID=MEC305AFC-DA82-4044-94C9-58F2395E5891&SearchSource=58&CUI=&UM=6&UP=SP49EF4BB2-4B24-4E19-9B01-3A2E56C88023&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-4081374541-4208040571-904823648-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.certified-toolbar.com?si=85053&st=bs&tid=29529&ver=6.9&ts=1413369246310&tguid=85053-29529-1413369246310-E49EB854CCD2E97E13A622B69348280F&q={searchTerms} BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre6\bin\ssv.dll => No File BHO: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~1\MIF5BA~1\Office14\URLREDIR.DLL => No File BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => No File Toolbar: HKLM - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-4081374541-4208040571-904823648-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-4081374541-4208040571-904823648-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll No File Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll No File Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll No File Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll No File CHR Extension: (No Name) - C:\Users\111\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkcpopggjcjkiicpenikeogioednjeac [2014-12-02] [UpdateUrl: hxxp://download.yandex.ru/bar/chrome/updates-vb.xml] <==== ATTENTION CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [clpdgmdkdnijjbgmnajolnbnjejoeogm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url> CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [lejgaailkdamkibfiedjjnejcibjgljl] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [mibfbmhijjgpkmobcfdlelpccpeafoom] - <no Path\update_url> CHR HKLM\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\111\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found> CHR HKLM\...\Chrome\Extension: [nldekieodmkceimbjnaboonipiaakoel] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [nphbmanpfjfdngbaamhajooihmjacmfe] - hxxps://clients2.google.com/service/update2/crx?response=redirect\\&x=id%3Dnphbmanpfjfdngbaamhajooihmjacmfe%26uc%26lang%3Den-US&prod=chrome" CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-4081374541-4208040571-904823648-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-4081374541-4208040571-904823648-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (SuperMegaBest.com) - C:\Users\111\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2014-10-15] OPR Extension: (SocialLife for Google Chrome™) - C:\Users\111\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhloflhklmhfpedakmangadcdofhnnoh [2015-02-04] OPR Extension: (SocialLife for Google Chrome™) - C:\Users\111\AppData\Roaming\Opera Software\Opera Stable\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2014-12-31] OPR Extension: (SocialLife for Google Chrome™) - C:\Users\111\AppData\Roaming\Opera Software\Opera Stable\Extensions\fnbdnhhicmebfgdgglcdacdapkcihcoh [2015-02-14] OPR Extension: (SocialLife for Google Chrome™) - C:\Users\111\AppData\Roaming\Opera Software\Opera Stable\Extensions\gmbgaklkmjakoegficnlkhebmhkjfich [2015-01-15] OPR Extension: (SocialLife for Google Chrome™) - C:\Users\111\AppData\Roaming\Opera Software\Opera Stable\Extensions\inoeonmfapjbbkmdafoankkfajkcphgd [2015-01-30] 2016-05-02 14:25 - 2016-05-02 14:25 - 0927422 _____ () C:\Program Files\desk.bmp 2016-05-02 14:25 - 2016-05-02 14:25 - 0153325 _____ () C:\Program Files\desk.jpg 2016-05-01 12:18 - 2016-05-02 14:25 - 0000020 _____ () C:\Program Files\VOYFZCFJTM.XZL Task: {376FB0FB-08C8-45E4-AACE-D9871B1A6596} - \Kbupdater Utility -> No File <==== ATTENTION Task: {4E6CEF01-AA80-4DF1-9FB8-E019264D6DBB} - \Safebrowser -> No File <==== ATTENTION Task: {84F6DE8E-8DA0-41BE-8483-290FC4C2D92C} - \SystemScript -> No File <==== ATTENTION Task: {D55A4D79-4C8B-4839-B064-41014B03826D} - \appdistrib -> No File <==== ATTENTION Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо. Вот новый лог.
Образцы шифрованных файлов пришлите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В архиве текстовый документ и графический
В архиве всего один xls-файл
Проверьте ЛС
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Drozhd_r, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.