помогите, зашифрованы файлы, требует отправить письмо на емайл [email protected] [not-a-virus:AdWare.Win32.DealPly.bt, not-a-virus:AdWare.Win32.DealPly.clt ]

Printable View

29.06.2015, 14:54
Klingzor

Вложений: 2

помогите, зашифрованы файлы, требует отправить письмо на емайл [email protected] [not-a-virus:AdWare.Win32.DealPly.bt, not-a-virus:AdWare.Win32.DealPly.clt ]

проблема аналогичная уже [URL="http://virusinfo.info/showthread.php?t=186248"]имеющейся на форуме[/URL]

прилагаю логи работы farbar

надеюсь на помощь...
29.06.2015, 14:57
Info_bot

Уважаемый(ая) [B]Klingzor[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
29.06.2015, 16:27
Klingzor

Вложений: 3

добавляю логи AVZ и HJT
29.06.2015, 18:36
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\дуся\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe','');
QuarantineFile('C:\Users\дуся\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe','');
QuarantineFile('C:\Users\F42F~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files\DealPly\DealPlyUpdate.exe','');
QuarantineFile('C:\Users\F42F~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','');
TerminateProcessByName('c:\program files\mobogenie\daemonprocess.exe');
TerminateProcessByName('c:\users\f42f~1\appdata\roaming\digita~1\update~1\update~1.exe');
DeleteFile('c:\users\f42f~1\appdata\roaming\digita~1\update~1\update~1.exe','32');
DeleteFile('c:\program files\mobogenie\daemonprocess.exe','32');
DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','32');
DeleteFile('C:\Program Files\Tuneup Pro\systweakasp.exe','32');
DeleteFile('C:\Windows\system32\Tasks\ASP','32');
DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','32');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
DeleteFile('C:\Users\F42F~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Program Files\DealPly\DealPlyUpdate.exe','32');
DeleteFile('C:\Users\F42F~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\дуся\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Funmoods','32');
DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','32');
DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','32');
DeleteFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe','32');
DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','32');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
DeleteFile('C:\Users\дуся\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] над первым сообщением в Вашей теме.

[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]
29.06.2015, 19:52
Klingzor

Вложений: 6

скрипт выполнил
карантин отправил

высылаю новые логи
30.06.2015, 00:35
thyrex

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
30.06.2015, 09:33
Klingzor

Вложений: 1

добавляю лог MBAM
30.06.2015, 16:01
thyrex

Удалите в МВАМ все, [B]кроме[/B]
[CODE]Hacktool.Agent, C:\Users\дуся\Downloads\Windows Loader 2.2.2 by Daz\Windows Loader.exe, , [7efcefd1fc8ee84e4568285a6e93619f],
[/CODE]

Сделайте новые логи Farbar
30.06.2015, 20:10
Klingzor

сейчас недопонял как и что сделать... можете пояснить?
30.06.2015, 20:32
thyrex

МВАМ или Farbar?
30.06.2015, 21:31
Klingzor

Вложений: 2

сорри, по MBAM разобрался

сейчас FarBar заново сканирует

прилагаю логи FarBar
01.07.2015, 10:53
thyrex

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
IFEO\skype.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe"
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2572818867-1531963830-609405450-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
HKU\S-1-5-21-2572818867-1531963830-609405450-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ru-ru/?pc=UP97&ocid=UP97DHP
HKU\S-1-5-21-2572818867-1531963830-609405450-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
HKU\S-1-5-21-2572818867-1531963830-609405450-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
SearchScopes: HKU\S-1-5-21-2572818867-1531963830-609405450-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
BHO: TinyBHO Class -> {00e71626-0bef-11dc-8314-0800200c9a66} -> No File
Toolbar: HKU\S-1-5-21-2572818867-1531963830-609405450-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
FF Extension: NetSecurity v14.4.30 - C:\Users\дуся\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2014-04-30]
CHR Extension: (Блокиратор рекламы) - C:\Users\дуся\AppData\Local\Google\Chrome\User Data\Default\Extensions\ffggnenfffcgnknidmnbebcieofndljd [2014-10-24]
CHR Extension: (Купоинт – дает скидки) - C:\Users\дуся\AppData\Local\Google\Chrome\User Data\Default\Extensions\ifpjamfehjeobjanpappgckkmnhjnpgi [2014-06-26]
OPR Extension: (NetSecurity) - C:\Users\дуся\AppData\Roaming\Opera Software\Opera Stable\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2014-04-30]
OPR Extension: (Dolka.ru) - C:\Users\дуся\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-04-30]
2015-06-26 12:08 - 2015-06-26 13:26 - 00000081 _____ C:\Program Files\ZSIGBEHPKO.LSP
2015-07-01 08:14 - 2014-08-26 10:13 - 00000000 ____D C:\Users\дуся\AppData\Roaming\systweak
2015-07-01 08:14 - 2014-02-14 10:03 - 00000000 ____D C:\Users\дуся\AppData\Roaming\DigitalSites
2015-07-01 08:14 - 2013-05-10 13:22 - 00000000 ____D C:\Users\дуся\AppData\Roaming\Funmoods
2015-07-01 08:14 - 2013-05-10 13:22 - 00000000 ____D C:\Users\дуся\AppData\Roaming\DSite
2015-06-29 22:01 - 2014-06-26 13:36 - 00000000 ____D C:\Program Files\Mobogenie
2015-06-29 22:01 - 2014-04-30 20:11 - 00000000 ____D C:\Users\Все пользователи\Kbrowser utility
2015-06-29 22:01 - 2014-04-30 20:11 - 00000000 ____D C:\ProgramData\Kbrowser utility
Task: {00F8D18C-6102-4889-A497-61B672E54D77} - \Safebrowser No Task File <==== ATTENTION
Task: {2050ACD1-5709-4B12-AB2E-92437221D3CD} - \Kinoroom Browser No Task File <==== ATTENTION
Task: {2F0FBBC4-FB6B-4219-BF21-0EF5B82E1805} - \Программа онлайн-обновления Adobe. No Task File <==== ATTENTION
Task: {31E8D216-9E72-43D2-89BA-5CD2AFD0F702} - \ASP No Task File <==== ATTENTION
Task: {67C8830B-04B3-402E-93F3-B1F9A0BEA864} - \DealPly No Task File <==== ATTENTION
Task: {8CB0C1BA-3856-4CFF-B334-B1CC1A176542} - \kbrowser-updater-utility No Task File <==== ATTENTION
Task: {DF6B51AD-9895-457E-84CD-B88CAFE8BDE6} - \DealPlyUpdate No Task File <==== ATTENTION
Task: {F2F4E209-297F-4744-9D7F-CA19313C010A} - \Funmoods No Task File <==== ATTENTION
Task: {F87C45BC-8A68-498C-AE72-1D3FD1E95365} - \LaunchSignup No Task File <==== ATTENTION
Hosts:
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
01.07.2015, 12:26
Klingzor

Вложений: 1

готово

прикрепляю лог
01.07.2015, 12:44
thyrex

Папку C:\Users\дуся\ddqrz удалите вручную.

С расшифровкой не поможем
01.07.2015, 12:54
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\dealply\dealplyupdate.exe - [B]not-a-virus:AdWare.Win32.DealPly.clt[/B] ( BitDefender: Adware.DealPly.B )[*] c:\users\f42f~1\appdata\roaming\digita~1\update~1\update~1.exe - [B]not-a-virus:AdWare.Win32.DealPly.bt[/B] ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )[*] c:\users\дуся\appdata\roaming\digitalsites\updateproc\updatetask.exe - [B]not-a-virus:AdWare.Win32.DealPly.bt[/B] ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )[*] c:\users\дуся\appdata\roaming\digita~1\update~1\update~1.exe - [B]not-a-virus:AdWare.Win32.DealPly.bt[/B] ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )[*] c:\users\дуся\applic~1\digitalsites\updateproc\updatetask.exe - [B]not-a-virus:AdWare.Win32.DealPly.bt[/B] ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )[*] c:\users\дуся\applic~1\digita~1\update~1\update~1.exe - [B]not-a-virus:AdWare.Win32.DealPly.bt[/B] ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )[/LIST][/LIST]