Вирус изменил расширение файлов MS Access на cbf. Помогите восстановить!

**мелис** · 20.08.2017, 19:54

Вирус изменил расширение файлов Word на cbf. Помогите восстановить!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.08.2017, 19:56

Уважаемый(ая) мелис, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**мелис** · 20.08.2017, 20:35

CollectionLog-2017.08.20-23.29.zip

**thyrex** · 20.08.2017, 21:31

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Мелис\appdata\roaming\randomdeljihereg.exe','');
 QuarantineFile('C:\WINDOWS\system32\wbiosrvp.dll','');
 QuarantineFile('C:\WINDOWS\system32\themctrl.dll','');
 QuarantineFile('C:\Users\Мелис\AppData\Local\SearchGo\searchgo.exe','');
 QuarantineFile('C:\Users\Мелис\AppData\Local\Temp\AutoTime51495.exe','');
 QuarantineFile('C:\Users\Мелис\AppData\Roaming\service51495.exe','');
 QuarantineFile('C:\Users\Мелис\AppData\Local\Kometa\StartButton\kometastartvx64.exe','');
 QuarantineFile('C:\Program Files (x86)\taskgrm.exe','');
 QuarantineFile('C:\Users\D789~1\AppData\Roaming\SETUPS~1\ml.py','');
 QuarantineFile('C:\Users\Мелис\AppData\Roaming\setupsk\ml.py','');
 DeleteFile('C:\Users\Мелис\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('C:\Users\D789~1\AppData\Roaming\SETUPS~1\ml.py','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
 DeleteFile('C:\Program Files (x86)\taskgrm.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
 DeleteFile('C:\Users\Мелис\AppData\Local\Kometa\StartButton\kometastartvx64.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\InternetDE','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\nvfontcache','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Phoenix Browser Updater','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SearchGo Task','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\svchost','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\tasklist','64');
 DeleteFile('C:\Users\Мелис\AppData\Roaming\service51495.exe','32');
 DeleteFile('C:\Users\Мелис\AppData\Local\Temp\AutoTime51495.exe','32');
 DeleteFile('C:\Users\Мелис\AppData\Local\SearchGo\searchgo.exe','32');
 DeleteFile('C:\WINDOWS\system32\themctrl.dll','32');
 DeleteFile('C:\WINDOWS\system32\wbiosrvp.dll','32');
 DeleteFile('C:\Users\Мелис\appdata\roaming\randomdeljihereg.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

**мелис** · 20.08.2017, 22:51

CollectionLog-2017.08.21-01.49.zip

**thyrex** · 21.08.2017, 07:38

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**мелис** · 21.08.2017, 13:25

scoped_dir6724_9370.rar scoped_dir6724_9370.rar

**thyrex** · 21.08.2017, 13:45

FF Extension: (PhoenixGuard)
CHR Extension: (Ultimate Discounter)
OPR Extension: (The Safe Surfing)

указанные расширения удалите в браузерах.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
CHR HKU\S-1-5-21-869312999-3293205783-1427545665-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kjookcgabfpopndalmddbaegjninpkfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofamiiopmjjgknbponcngmmlcoiakdld] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S3 PrintWorkflowUserSvc_5d4fd; C:\WINDOWS\system32\svchost.exe [45024 2017-07-23] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S3 PrintWorkflowUserSvc_5d4fd; C:\WINDOWS\SysWOW64\svchost.exe [39320 2017-07-23] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wbiosrvp; C:\WINDOWS\System32\svchost.exe [45024 2017-07-23] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wbiosrvp; C:\WINDOWS\SysWOW64\svchost.exe [39320 2017-07-23] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
2017-08-20 20:35 - 2017-08-21 01:07 - 000000081 _____ C:\Program Files (x86)\ELVQLJTTRW.QOI
2017-08-21 01:18 - 2017-04-17 20:48 - 000000000 ____D C:\Users\Мелис\AppData\Roaming\setupsk_upd
ShellIconOverlayIdentifiers: [    YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} =>  -> No File
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} =>  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} =>  -> No File
ContextMenuHandlers1: [KuaiZipShlExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} =>  -> No File
ContextMenuHandlers1: [Baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} =>  -> No File
ContextMenuHandlers1: [FastCompress-Zip] -> {22BB7841-43C8-451B-1000-000100020000} =>  -> No File
ContextMenuHandlers2: [KuaiZipShlExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} =>  -> No File
ContextMenuHandlers2: [Baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} =>  -> No File
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers3: [QMContextScan] -> {63332668-8CE1-445D-A5EE-25929176714E} =>  -> No File
ContextMenuHandlers3: [QMContextUninstall] -> {CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} =>  -> No File
ContextMenuHandlers4: [KuaiZipShlExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} =>  -> No File
ContextMenuHandlers4: [FastCompress-Zip] -> {22BB7841-43C8-451B-1000-000100020000} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
ContextMenuHandlers6: [Baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} =>  -> No File
ContextMenuHandlers6: [QMContextScan] -> {63332668-8CE1-445D-A5EE-25929176714E} =>  -> No File
ContextMenuHandlers6: [QMContextUninstall] -> {CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} =>  -> No File
Task: {2A3C388C-2157-44B0-8762-1F53A6C5AF31} - \nvfontcache -> No File <==== ATTENTION
Task: {439B6DE1-58F7-48A1-AD8B-5B1EBC6CD269} - \Microsoft\XblGameSave\XblGameSaveTask\Logon -> No File <==== ATTENTION
Task: {5E04967F-18CF-46E8-BD5B-A2A25A45094F} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {8A8A9A4B-7EB4-48AC-99B8-09F966D4B9D3} - \SearchGo Task -> No File <==== ATTENTION
Task: {8CBFD775-4FBF-4A95-B21B-3293A7466A71} - \Phoenix Browser Updater -> No File <==== ATTENTION
Task: {8FE00F7F-7C3A-4D5B-9610-7AF59B19694A} - \tasklist -> No File <==== ATTENTION
Task: {A09395D8-3E94-4F0B-88CC-2A9060180B46} - \MySQL\Installer\ManifestUpdate -> No File <==== ATTENTION
Task: {B2091566-9FC1-4759-B2EC-B7F8713E3D50} - \svchost -> No File <==== ATTENTION
Task: {B9C112CF-7CCE-47DD-B78A-F681F5B3FCDB} - \setupsk -> No File <==== ATTENTION
Task: {C27D8458-2AD5-4189-A16A-C17D82CF108E} - \setupsk_upd -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [170]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [152]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [170]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [282]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [138]
HKLM\...\StartupApproved\Run32: => "ZaxarGameBrowser"
HKLM\...\StartupApproved\Run32: => "ZaxarLoader"
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**мелис** · 21.08.2017, 15:26

Fixlog.txtFixlog.rar

**thyrex** · 21.08.2017, 15:31

Мусор почистили.

С расшифровкой помочь не сможем.

Вирус изменил расширение файлов MS Access на cbf. Помогите восстановить! (заявка № 214807)

Опции темы