Printable View
Здравствуйте! Обращаюсь за помощью, пойман вирус , зашифровались документы (doc, xls, pdf...). Теперь названия документов выглядят так: [email protected] 1.1.0.0.id-SUVVWXYYZZABBCDEEEFGGHIIXYZAAABCCDEE-31.07.2015 [email]10@[email protected][/email]<br><br>Несколько таких моих файлов можно скачать тут: удалено==<br><br>Заранее спасибо за помощь.<br><br>
Уважаемый(ая) [B]Andy_N2008[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Irina\appdata\roaming\mystartsearch\uninstallmanager.exe','');
QuarantineFile('C:\Users\Irina\AppData\Roaming\qone8\UninstallManager.exe','');
QuarantineFile('C:\Program Files\RelevantKnowledge\rlvknlg.exe','');
QuarantineFile('C:\Users\Irina\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Program Files\globalUpdate\Update\GoogleUpdate.exe','');
QuarantineFile('C:\Users\Irina\AppData\Roaming\XASSLL.exe','');
QuarantineFile('C:\Users\Irina\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\Irina\AppData\Roaming\NZQIGMZL.exe','');
QuarantineFile('C:\Program Files\YTDownloader\YTDownloader.exe','');
DeleteFile('C:\Program Files\YTDownloader\YTDownloader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader','command');
DeleteFile('C:\Users\Irina\AppData\Local\storegid\storegid.exe','32');
DeleteFile('C:\Users\Irina\AppData\Local\storegid\storegidup.exe','32');
DeleteFile('C:\Users\Irina\AppData\Roaming\GetNowUpdater\bin\GetNowUpdater.exe','32');
DeleteFile('c:\progra~1\suptab\search~1.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GetNowUpdater','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegidUpdater','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Users\Irina\AppData\Roaming\NZQIGMZL.exe','32');
DeleteFile('C:\Users\Irina\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\Irina\AppData\Roaming\XASSLL.exe','32');
DeleteFile('C:\Windows\Tasks\XASSLL.job','32');
DeleteFile('C:\Windows\Tasks\SaveSense.job','32');
DeleteFile('C:\Windows\Tasks\NZQIGMZL.job','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
DeleteFile('C:\Program Files\globalUpdate\Update\GoogleUpdate.exe','32');
DeleteFile('C:\Windows\system32\Tasks\NZQIGMZL','32');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
DeleteFile('C:\Users\Irina\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Windows\system32\Tasks\XASSLL','32');
DeleteFile('C:\Program Files\RelevantKnowledge\rlvknlg.exe','32');
DeleteFile('C:\Users\Irina\AppData\Roaming\qone8\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{DDB7283D-4E29-4AB8-BFFF-F4794945F189}','32');
DeleteFile('C:\Windows\system32\Tasks\{DCC4E31C-B157-48C9-A48C-79437C303C62}','32');
DeleteFile('C:\Users\Irina\appdata\roaming\mystartsearch\uninstallmanager.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
Новые логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
лог полного сканирования
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
логи FRST
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
C:\Users\Irina\AppData\Local\Temp\dSDPLOPXwR8w.exe
C:\Users\Irina\AppData\Local\Temp\e4klIeWG3b2N.exe
C:\Users\Irina\AppData\Local\Temp\lfFqalLU9K5j.exe
C:\Users\Irina\AppData\Local\Temp\mmqIxZYC8vQm.exe
C:\Users\Irina\AppData\Local\Temp\Q8PDzOlKEUFh.exe
C:\Users\Irina\AppData\Local\Temp\qGaA9vG4HG1F.exe
2015-03-10 00:30 - 2015-03-10 00:30 - 0005487 _____ () C:\Users\Irina\AppData\Roaming\NZQIGMZL
2015-03-10 00:30 - 2015-03-10 00:30 - 0005487 _____ () C:\Users\Irina\AppData\Roaming\XASSLL
OPR Extension: (SuperMegaBest.com) - C:\Users\Irina\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2015-05-26]
OPR Extension: (Dolka.ru) - C:\Users\Irina\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-05-30]
FF Extension: SuperMegaBest.com - C:\Users\Irina\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-03-27]
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-68593809-917819754-987075067-1183 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-68593809-917819754-987075067-1183 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
SearchScopes: HKU\S-1-5-21-68593809-917819754-987075067-1183 -> 0E6C79744A034C712F72397681B83871 URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=ST500DM002-1BC142_Z2ALYQFFXXXXZ2ALYQFF&ts=1427355959&type=default&q={searchTerms}
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
HKLM\...\Run: [] => [X]
Task: {1780725D-C628-42AB-AAE4-8B87C1BCCF85} - \Optimizer Pro Schedule -> No File <==== ATTENTION
Task: {237E03EE-63EF-46AD-AFAD-66BA2876AD01} - \{DDB7283D-4E29-4AB8-BFFF-F4794945F189} -> No File <==== ATTENTION
Task: {482FBDB9-A8E2-4E5B-B378-07E1E880797A} - \APSnotifierPP3 -> No File <==== ATTENTION
Task: {4ED77500-C1C9-4442-B0C4-9330212C3C17} - \globalUpdateUpdateTaskMachineUA -> No File <==== ATTENTION
Task: {5E453B70-EF90-465C-A5C4-6760B73E750C} - \SaveSense -> No File <==== ATTENTION
Task: {66324B31-BD0A-49B6-8834-E5237E4E51E8} - \APSnotifierPP1 -> No File <==== ATTENTION
Task: {6AE226C7-6542-4B73-B70D-1034BE45F1DD} - \APSnotifierPP2 -> No File <==== ATTENTION
Task: {9F45BF5F-7DAD-4965-8FAA-A0D96A4F26EA} - \globalUpdateUpdateTaskMachineCore -> No File <==== ATTENTION
Task: {A16B856B-6C32-4B61-BDF8-562885749DFD} - \{DCC4E31C-B157-48C9-A48C-79437C303C62} -> No File <==== ATTENTION
Task: {C3871B89-26C9-4EBE-8D51-DC37064AEEA6} - \DoctorPC_Start -> No File <==== ATTENTION
Task: {C8C18CA8-F8A1-4D6D-B6F7-D130C31C7258} - \DoctorPC_Popup -> No File <==== ATTENTION
Task: {CFF02F7A-67CA-43FB-842F-DAF60006C61A} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Fixlog.txt
C расшифровкой не поможем
[QUOTE=thyrex;1303717]C расшифровкой не поможем[/QUOTE]
Жаль! Спасибо Вам за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]