вирус-шифровальщик support@recovery.cab [not-a-virus:AdWare.Win32.Yotoon.szd, not-a-virus:WebToolbar.Win64.SearchSuite.e ]

Вложений: 3

вирус-шифровальщик [email protected] [not-a-virus:AdWare.Win32.Yotoon.szd, not-a-virus:WebToolbar.Win64.SearchSuite.e ]

[COLOR=#333333]Здравствуйте, словил вирус [/COLOR][EMAIL="[email protected]"][email protected][/EMAIL][COLOR=#333333]! И теперь все файлы как архивы, как восстановить их и вылечить комп?[/COLOR]

Уважаемый(ая) [B]Serj Anehov[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Сергей\AppData\Local\PriceMeter\pricemeterd.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','');
QuarantineFile('C:\Users\D899~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\B0EB.tmp','');
QuarantineFile('C:\Users\Сергей\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\Сергей\AppData\Roaming\Browsers\exe.resworb-mooronik.bat','');
QuarantineFile('C:\Users\Сергей\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Сергей\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\Users\Сергей\AppData\Local\Linkey\IEExtension\ietlbl.exe','');
QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','');
QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','');
SetServiceStart('{8d9c9462-4635-4cc0-ab2c-0e46af3a958b}w64', 4);
DeleteService('{8d9c9462-4635-4cc0-ab2c-0e46af3a958b}w64');
SetServiceStart('{76eaa25f-d535-414d-8a8b-4bce0a94d247}w64', 4);
DeleteService('{76eaa25f-d535-414d-8a8b-4bce0a94d247}w64');
SetServiceStart('{6e9af5d3-a8f9-4461-ad38-1433888f55dc}w64', 4);
DeleteService('{6e9af5d3-a8f9-4461-ad38-1433888f55dc}w64');
SetServiceStart('{29b8df85-56af-474f-9022-e376793679f9}w64', 4);
DeleteService('{29b8df85-56af-474f-9022-e376793679f9}w64');
SetServiceStart('{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64', 4);
DeleteService('{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64');
SetServiceStart('F06DEFF2-5B9C-490D-910F-35D3A91196222', 4);
DeleteService('F06DEFF2-5B9C-490D-910F-35D3A91196222');
QuarantineFile('C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe','');
QuarantineFile('C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe','');
DeleteService('Util Mega Browse');
DeleteService('Update Mega Browse');
DeleteService('pricemeterliveUpdatem');
DeleteService('pricemeterliveUpdate');
SetServiceStart('SmdmFService', 4);
DeleteService('SmdmFService');
QuarantineFile('C:\Windows\system32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{8d9c9462-4635-4cc0-ab2c-0e46af3a958b}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{29b8df85-56af-474f-9022-e376793679f9}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64.sys','');
QuarantineFile('C:\Program Files (x86)\Assets Manager\smdmf\x64\smdmfmgrc3.cfg','');
TerminateProcessByName('c:\program files (x86)\assets manager\smdmf\smdmfservice.exe');
QuarantineFile('c:\program files (x86)\assets manager\smdmf\smdmfservice.exe','');
TerminateProcessByName('c:\program files (x86)\pricemeterliveupdate\update\pricemeterliveupdate.exe');
QuarantineFile('c:\program files (x86)\pricemeterliveupdate\update\pricemeterliveupdate.exe','');
DeleteFile('c:\program files (x86)\pricemeterliveupdate\update\pricemeterliveupdate.exe','32');
DeleteFile('c:\program files (x86)\assets manager\smdmf\smdmfservice.exe','32');
DeleteFile('C:\Program Files (x86)\Assets Manager\smdmf\x64\smdmfmgrc3.cfg','32');
DeleteFile('C:\Windows\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{29b8df85-56af-474f-9022-e376793679f9}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{8d9c9462-4635-4cc0-ab2c-0e46af3a958b}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}w64.sys','32');
DeleteFile('C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe','32');
DeleteFile('C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe','32');
DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','32');
DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32');
DeleteFile('C:\Users\Сергей\AppData\Local\Linkey\IEExtension\ietlbl.exe','32');
DeleteFile('C:\Users\Сергей\AppData\Roaming\Browsers\exe.emorhc.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Linkey');
DeleteFile('C:\Users\Сергей\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Сергей\AppData\Roaming\Browsers\exe.resworb-mooronik.bat','32');
DeleteFile('C:\Users\Сергей\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\B0EB.tmp','32');
DeleteFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\recovery.bmp','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job','64');
DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job','64');
DeleteFile('C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe','32');
DeleteFile('C:\Users\D899~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\PriceMeterUpdater.job','64');
DeleteFile('C:\Windows\system32\Tasks\appdistrib','64');
DeleteFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64');
DeleteFile('C:\Windows\system32\Tasks\pricemeterdownloader','64');
DeleteFile('C:\Users\Сергей\AppData\Local\PriceMeter\pricemeterd.exe','32');
DeleteFile('C:\Windows\system32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA','64');
DeleteFile('C:\Windows\system32\Tasks\PriceMeterUpdater','64');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a5f2e1b8b796c9f89ee7b2e998ea326f&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a5f2e1b8b796c9f89ee7b2e998ea326f&text=
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a5f2e1b8b796c9f89ee7b2e998ea326f&text=[/CODE]

[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\assets manager\smdmf\smdmfservice.exe - [B]not-a-virus:WebToolbar.Win64.SearchSuite.e[/B] ( DrWEB: Adware.Bandoo.175 )[*] c:\program files (x86)\assets manager\smdmf\x64\smdmfmgrc3.cfg - [B]not-a-virus:WebToolbar.Win32.SearchSuite.r[/B][*] c:\program files (x86)\mega browse\bin\utilmegabrowse.exe - [B]not-a-virus:HEUR:AdWare.MSIL.Kranet.heur[/B] ( BitDefender: Adware.Generic.995847 )[*] c:\program files (x86)\mega browse\updatemegabrowse.exe - [B]not-a-virus:HEUR:AdWare.MSIL.Kranet.heur[/B] ( BitDefender: Gen:Variant.Adware.SwiftBrowse.4 )[*] c:\programdata\kbupdater utility\kbupdater-utility.exe - [B]not-a-virus:Downloader.Win32.Agent.dgwb[/B][*] c:\windows\system32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}w64.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szd[/B] ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.SwiftBrowse.CH )[*] c:\windows\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}gw64.sys - [B]not-a-virus:AdWare.Win32.Yotoon.aqs[/B] ( DrWEB: Trojan.BPlug.123, BitDefender: Adware.Agent.OBN )[*] c:\windows\system32\drivers\{29b8df85-56af-474f-9022-e376793679f9}w64.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szd[/B] ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.SwiftBrowse.CH )[*] c:\windows\system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}w64.sys - [B]not-a-virus:AdWare.Win64.Agent.ai[/B] ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.SwiftBrowse.CH )[*] c:\windows\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}w64.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szd[/B] ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.SwiftBrowse.CH )[*] c:\windows\system32\drivers\{8d9c9462-4635-4cc0-ab2c-0e46af3a958b}w64.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szd[/B] ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.SwiftBrowse.CH )[/LIST][/LIST]