не отрываются файлы docx. xls. jpg. pdf

Printable View

12.08.2014, 14:48
sir.pirate

не отрываются файлы docx. xls. jpg. pdf

Сегодня утром обнаружил что не открываются все фото, документы и т.д.
к каждому имени файла прписано вот это .keybtc@gmail_com
сделал все что указано на вашем сайте. перзагрузил компьютер теерь жду ваших рекомендаций.
спасибо.
12.08.2014, 14:49
Info_bot

Уважаемый(ая) [B]sir.pirate[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
12.08.2014, 15:38
thyrex

c:\programdata\schedule\timetasks.exe если сами не устанавливали, удалите через Установку программ

netcrawl, BonanzaDeals удалите через Установку программ

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\NetCrawl\bin\utilNetCrawl.exe','');
QuarantineFile('C:\Program Files\NetCrawl\updateNetCrawl.exe','');
QuarantineFile('C:\Program Files\netcrawl\updatenetcrawl.exe','');
QuarantineFile('C:\Program Files\netcrawl\bin\{6FCD6092-9615-4F7F-8898-8DF53980E5D2}.dll','');
QuarantineFile('C:\Program Files\netcrawl\bin\netcrawl.purbrowse.exe','');
QuarantineFile('C:\Program Files\netcrawl\bin\netcrawl.browseradapter.exe','');
QuarantineFile('C:\Users\Семья\appdata\roaming\search~1\search~1.exe','');
QuarantineFile('C:\Users\Семья\appdata\roaming\searchindexer\moduleinno.exe','');
QuarantineFile('C:\Users\Семья\appdata\roaming\digita~1\update~1\update~1.exe','');
QuarantineFile('C:\Program Files\Mobogenie\mgusb.exe','');
QuarantineFile('C:\Users\38E2~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\PROGRA~2\Mozilla\accfarg.exe','');
QuarantineFile('C:\Users\38E2~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
DelBHO('{1d5762cd-1ad0-4fec-9cd1-58b8abb89316}');
DelBHO('{22d42655-b9ff-40c9-8313-26e025b7a98b}');
DelBHO('{3b1eea8a-e8c6-40fe-a2b3-a807f36c564b}');
DelBHO('{b0bcfa76-931d-4173-a90a-5e0be171f686}');
DelBHO('{fe063412-bea4-4d76-8ed3-183be6220d17}');
QuarantineFile('C:\Program Files\BonanzaDeals\BonanzaDealsIE.dll','');
QuarantineFile('C:\Program Files\MediaViewerV1\MediaViewerV1alpha1774\ie\MediaViewerV1alpha1774.dll','');
QuarantineFile('C:\Program Files\MediaViewV1\MediaViewV1alpha1794\ie\MediaViewV1alpha1794.dll','');
QuarantineFile('C:\Program Files\MediaWatchV1\MediaWatchV1home719\ie\MediaWatchV1home719.dll','');
QuarantineFile('C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha178\ie\MediaPlayerV1alpha178.dll','');
QuarantineFile('C:\ProgramData\Program status\scheck.exe','');
QuarantineFile('C:\PROGRA~2\Mozilla\alilbxi.dll','');
SetServiceStart('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w', 4);
DeleteService('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w');
SetServiceStart('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw', 4);
DeleteService('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw');
QuarantineFile('C:\Windows\system32\nethtsrv.exe','');
DeleteService('NetHttpService');
DeleteService('bonanzadealslivem');
DeleteService('bonanzadealslive');
SetServiceStart('Util NetCrawl', 4);
SetServiceStart('Update NetCrawl', 4);
DeleteService('Util NetCrawl');
DeleteService('Update NetCrawl');
QuarantineFile('C:\Windows\system32\netupdsrv.exe','');
SetServiceStart('ServiceUpdater', 4);
DeleteService('ServiceUpdater');
QuarantineFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw.sys','');
DeleteFile('C:\Windows\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw.sys','32');
DeleteFile('C:\Windows\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w.sys','32');
DeleteFile('C:\Windows\system32\netupdsrv.exe','32');
DeleteFile('C:\Windows\system32\nethtsrv.exe','32');
DeleteFile('C:\PROGRA~2\Mozilla\alilbxi.dll','32');
DeleteFile('C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha178\ie\MediaPlayerV1alpha178.dll','32');
DeleteFile('C:\Program Files\MediaWatchV1\MediaWatchV1home719\ie\MediaWatchV1home719.dll','32');
DeleteFile('C:\Program Files\MediaViewV1\MediaViewV1alpha1794\ie\MediaViewV1alpha1794.dll','32');
DeleteFile('C:\Program Files\MediaViewerV1\MediaViewerV1alpha1774\ie\MediaViewerV1alpha1774.dll','32');
DeleteFile('C:\Program Files\BonanzaDeals\BonanzaDealsIE.dll','32');
DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','32');
DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
DeleteFile('C:\Users\38E2~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','32');
DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','32');
DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','32');
DeleteFile('C:\PROGRA~2\Mozilla\accfarg.exe','32');
DeleteFile('C:\Windows\system32\Tasks\cfowcyb','32');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
DeleteFile('C:\Windows\system32\Tasks\Funmoods','32');
DeleteFile('C:\Users\38E2~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Program Files\Mobogenie\mgusb.exe','32');
DeleteFile('C:\Users\Семья\appdata\roaming\digita~1\update~1\update~1.exe','32');
DeleteFile('C:\Users\Семья\appdata\roaming\searchindexer\moduleinno.exe','32');
DeleteFile('C:\Users\Семья\appdata\roaming\search~1\search~1.exe','32');
DeleteFile('C:\Program Files\netcrawl\bin\netcrawl.browseradapter.exe','32');
DeleteFile('C:\Program Files\netcrawl\bin\netcrawl.purbrowse.exe','32');
DeleteFile('C:\Program Files\netcrawl\bin\utilnetcrawl.exe','32');
DeleteFile('C:\Program Files\netcrawl\bin\{6FCD6092-9615-4F7F-8898-8DF53980E5D2}.dll','32');
DeleteFile('C:\Program Files\netcrawl\updatenetcrawl.exe','32');
DeleteFile('C:\Program Files\NetCrawl\updateNetCrawl.exe','32');
DeleteFile('C:\Program Files\NetCrawl\bin\utilNetCrawl.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
12.08.2014, 19:20
sir.pirate

Вот сделал как вы прсили
12.08.2014, 19:29
thyrex

Поместите в карантин МВАМ всё, [B]кроме[/B]
[CODE]PUP.Hacktool.Patcher, C:\Program Files\ASCON\KOMPAS-3D V11\KOMPAS-3D_V11SP1_antiHASP_v1.0.exe, , [e6b2b70b4d2ef244c4fe65a0817f4db3],
Trojan.FakeAlert.DF, C:\Program Files\ASCON\KOMPAS-3D V11\Libs\FTDraw\FTSCALC.exe, , [7721c8fa423971c5c3c8e671ec15f30d],
PUP.Optional.OffersWizard.A, C:\Program Files\Common Files\Config\uninstinethnfd.exe, , [a3f5dae8e49782b4421547b3e51f4db3],
PUP.Optional.InstallCore, C:\Program Files\FlvPlayer\FLVPlayerApp.exe, , [d2c6d7ebd1aacf67fefb89a208f808f8],
PUP.Optional.InstallMonstr.A, C:\Users\???µ??N?N?\AppData\Local\Temp\blank_putevoi_list_gruzovogo_avtomobilya-1.exe, , [a0f85f63f586f83e8161550425dc5ca4],
PUP.Optional.Rambler.A, C:\Users\???µ??N?N?\AppData\Local\Temp\RUpdate.exe, , [f2a6c3ffe09b6ec898999192f808ef11],
PUP.Optional.InstallMonstr.A, C:\Users\???µ??N?N?\AppData\Local\Temp\t5235.torrent.exe, , [d6c2e4de8eedf145f2474e057a874cb4],
PUP.Optional.Zona, C:\Users\???µ??N?N?\AppData\Local\Temp\taynaya_progulka_1985_satrip.exe, , [e9afb0125f1c78be187ac4887f823bc5],
PUP.Optional.InstallCore, C:\Users\???µ??N?N?\AppData\Local\Temp\FlvPlayerSetup(1).exe, , [67315f63512a56e06b7ad0e862a2d52b],
PUP.Adware.MediaGet, C:\Users\???µ??N?N?\AppData\Local\Temp\ken-park-ken-park-2002-dvdriptorrent_id3708158ids1s.exe, , [2672873b562578be6594818654acbd43],
PUP.Optional.LoadMoney, C:\Users\???µ??N?N?\AppData\Local\Temp\kompas-3d-v13-pc-_torrentino.exe, , [5543d4ee057672c406a485c81ae7669a],
PUP.Optional.LoadMoney, C:\Users\???µ??N?N?\AppData\Local\Temp\kompas-3d_v12_iso.exe, , [cecacef4156653e382333de712ef1ee2],
PUP.Optional.CinemaLoad.A, C:\Users\???µ??N?N?\AppData\Local\Temp\livadnyj_chernaja_pustosh_[tfile.tu].torrent___1.exe, , [87110fb395e6ad896bc40a7d738e659b],
PUP.Optional.Zona, C:\Users\???µ??N?N?\AppData\Local\Temp\stalker_zolotaya_kollektsiya_3_v_1.exe, , [f6a2e7db611aa096c4ce9cb09a67e31d],
PUP.Optional.Zona, C:\Users\???µ??N?N?\AppData\Local\Temp\jaksta_streaming_media_recorder_and_converter_5.0.1.19_x86_x64_31.10.2013_multilang_rus(1).exe, , [2b6db60cc5b6f640bbd78dbf99689769],
PUP.Optional.Zona, C:\Users\???µ??N?N?\AppData\Local\Temp\jaksta_streaming_media_recorder_and_converter_5.0.1.19_x86_x64_31.10.2013_multilang_rus.exe, , [712705bdc8b341f52e640e3edf2224dc],
PUP.Optional.Zona, C:\Users\???µ??N?N?\AppData\Local\Temp\valerev_andrey_-_forpost._knigi_1-4_2011_mp3(1).exe, , [1f7941819edd16208d05fc5024dd44bc],
PUP.Optional.Zona, C:\Users\???µ??N?N?\AppData\Local\Temp\valerev_andrey_-_forpost._knigi_1-4_2011_mp3.exe, , [1187aa1854276fc7fd95a1abe8198779],
PUP.Optional.Zona, C:\Users\???µ??N?N?\AppData\Local\Temp\imold_v11_sp3_premium_for_solidworks_2011-2013_x86_x64_2012_multilang_-rus.exe, , [a2f6665c0873c76ff85fdf31e51c22de],
PUP.Optional.CinemaLoad.A, C:\Users\???µ??N?N?\AppData\Local\Temp\instl_tmp.exe, , [10881ea4f4873ff77ab5eb9c8b76aa56],
PUP.Optional.InstallMonetizer, C:\Users\???µ??N?N?\AppData\Local\Temp\{89171803-7250-46E6-87A5-05D334FE1AD6}\Launcher_i178502185.exe, , [a3f5626059226dc99219f73ce71a38c8],
PUP.Optional.InstallMonetizer, C:\Users\???µ??N?N?\AppData\Local\Temp\{7984D6AF-8166-4338-ADE2-1C89AF87D47C}\Launcher_i178500951.exe, , [1781972b3843e65067445cd71be6c838],
PUP.Optional.InstallCore, C:\Users\???µ??N?N?\AppData\Local\Temp\is1242154493\344749_stp.EXE, , [5e3a7a482259fe38c73275b650b0aa56],
PUP.Optional.OpenCandy, C:\Users\???µ??N?N?\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\stub_data\stubinst_pkg_en-eu.cab, , [33658042ff7c31058273b9377391718f],
PUP.Optional.InstallCore.A, E:\??N????µ?? N??°?·???°N??°\logo-soft-comfort.exe, , [2c6cf9c9b1cadd596d6832fa03fd669a],
Trojan.Onlinegames, E:\??N????µ?? N??°?·???°N??°\SIEMENS.LOGOSoftComfort.7.0.30.x86.x642011-07-11.ENGRUS.rar_13731763_81_letB.exe, , [f7a13092e49789ad85efc56a13ef7090],
PUP.Optional.InstallMonster, E:\??N????µ?? N??°?·???°N??°\Turciya-Detskaya_diskoteka_-_hokey_dokey_(iPlayer.fm).exe, , [e8b004be99e2f2444c949f120400946c],
PUP.Optional.Zona, F:\?????µ??N?N?????\??N?????N??°????N? PLC\logo_softcomfort_7.0.30_x86_2011-07-11_eng.exe, , [cbcd259dcdaecd69741ed478b849fa06],
PUP.Optional.LoadMoney, F:\?????µ??N?N?????\?¤??N????°?»N??±????\???»N?N???N????????°\tfile_org_75347.exe, , [62360db582f9dd597d381a0a0df4e719],[/CODE]

Папки
[QUOTE]C:\Users\???µ??N?N?\AppData\Roaming\Funmoods
C:\Program Files\VideoPlayerV3
C:\Program Files\RichMediaViewV1
C:\Users\???µ??N?N?\AppData\Roaming\DigitalSites
C:\Users\???µ??N?N?\AppData\Roaming\DSite
C:\Program Files\MediaPlayerV1
C:\Program Files\MediaWatchV1
C:\Program Files\MediaViewV1
C:\Program Files\MediaViewerV1[/QUOTE]удалите вручную
12.08.2014, 19:56
sir.pirate

C:\Program Files\VideoPlayerV3
C:\Program Files\RichMediaViewV1 Вот эти два файла нашел и удалил. остальных нет. поподробнее скажите что нужно поместить в каранти и как это сделать (ссылка если есть).
12.08.2014, 20:11
thyrex

[quote="sir.pirate;1147805"]поподробнее скажите что нужно поместить в каранти и как это сделать[/quote]Запустить сканирование МВАМ еще раз и после его окончания выбрать действие Карантин для всех записей, кроме указанных выше
12.08.2014, 22:26
sir.pirate

вот как-то так.
13.08.2014, 00:07
thyrex

[quote="sir.pirate;1147865"]вот как-то так.[/quote]Это Вы о чем?
13.08.2014, 10:20
sir.pirate

Вложений: 1

вот такой файл получился после сканировния МВАМ

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

скажите я сделал что-то не так. мнен нужна ВАША помощь.
13.08.2014, 13:21
thyrex

С удалением перестарались, ну так тому и быть.

С дешифровкой помочь не сможем
13.08.2014, 16:49
sir.pirate

>:( и как мне быть и что делать

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

может еще раз попробовать
14.08.2014, 00:24
mike 1

Рекомендую вам обратиться в техподдержку DrWeb.
14.08.2014, 00:52
regist

[quote="sir.pirate;1148276"]и как мне быть и что делать[/quote]
прочитайте эту статью [url]http://virusinfo.info/showthread.php?t=164586[/url]
[b]sir.pirate[/b], возможно поможет получить нужный ключ для расшифровки для расшировки в ходе обыска у авторов трояна.
18.08.2014, 19:04
sir.pirate

Вложений: 1

я нашел вот таких два файла. может они происнять ситуацию.
19.08.2014, 00:55
mike 1

Ни чем не поможет.