Здравствуйте. Через почту поймал шифровальщика. Может поможете мне его найти. Логи прикрепил
Здравствуйте. Через почту поймал шифровальщика. Может поможете мне его найти. Логи прикрепил
Уважаемый(ая) [B]Denis Fenev[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\users\836d~1\appdata\local\temp\1\cd7978cc.exe');
QuarantineFile('c:\users\836d~1\appdata\local\temp\1\cd7978cc.exe','');
TerminateProcessByName('c:\users\836d~1\appdata\local\temp\1\aa1052d0.exe');
QuarantineFile('c:\users\836d~1\appdata\local\temp\1\aa1052d0.exe','');
TerminateProcessByName('c:\users\836d~1\appdata\local\temp\1\a587dd74.exe');
QuarantineFile('c:\users\836d~1\appdata\local\temp\1\a587dd74.exe','');
DeleteFile('c:\users\836d~1\appdata\local\temp\1\a587dd74.exe','32');
DeleteFile('c:\users\836d~1\appdata\local\temp\1\aa1052d0.exe','32');
DeleteFile('c:\users\836d~1\appdata\local\temp\1\cd7978cc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
Готово. Прошу прощения, какие правила выполнить еще раз? Скрипт?
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Сделал. Извините за задержку
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [KAVOverlayIcon] -> {dd230880-495a-11d1-b064-008048ec2fc5} => No File
ShellIconOverlayIdentifiers-x32: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: [KAVOverlayIcon] -> {dd230880-495a-11d1-b064-008048ec2fc5} => No File
SearchScopes: HKU\S-1-5-21-622968097-550534796-1418964151-500 -> {3314CB68-D969-44C3-A30B-714C6765BEEB} URL = hxxp://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^RU&gct=&itbv=12.23.0.15&apn_uid=47D6C7F7-C79E-4C59-AC7E-E3EED219FA01&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^RU&apn_dbr=ie_11.0.9600.17207&doi=2015-01-20&trgb=IE&q={searchTerms}&psv=&pt=tb
BHO: Search App by Ask -> {4F524A2D-5350-4500-76A7-7A786E7484D7} -> "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport_x64.dll" => No File
BHO: RoboForm Toolbar Helper -> {724d43a9-0d85-11d4-9908-00400523e39a} -> C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboForm-x64.dll => No File
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> C:\Program Files (x86)\Yandex\FastDial\fastdial64Host.dll => No File
BHO-x32: Search App by Ask -> {4F524A2D-5350-4500-76A7-7A786E7484D7} -> "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll" => No File
BHO-x32: CmjBrowserHelperObject Object -> {6FE6A929-59D1-4763-91AD-29B61CFFB35B} -> C:\Program Files (x86)\Mindjet\MindManager 14\Mm8InternetExplorer.dll => No File
BHO-x32: RoboForm Toolbar Helper -> {724d43a9-0d85-11d4-9908-00400523e39a} -> C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll => No File
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\ssv.dll => No File
BHO-x32: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\jp2ssv.dll => No File
Toolbar: HKLM - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartab64host.dll No File
Toolbar: HKLM - Search App by Ask - {4F524A2D-5350-4500-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport_x64.dll" No File
Toolbar: HKLM - &RoboForm Toolbar - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboForm-x64.dll No File
Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKLM-x32 - Search App by Ask - {4F524A2D-5350-4500-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll" No File
Toolbar: HKLM-x32 - &RoboForm Toolbar - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll No File
Toolbar: HKU\.DEFAULT -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartab64host.dll No File
Toolbar: HKU\S-1-5-21-622968097-550534796-1418964151-500 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartab64host.dll No File
Toolbar: HKU\S-1-5-21-622968097-550534796-1418964151-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
FF Plugin-x32: @java.com/DTPlugin,version=11.31.2 -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\dtplugin\npDeployJava1.dll [No File]
FF Plugin-x32: @java.com/JavaPlugin,version=11.31.2 -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\plugin2\npjp2.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll [No File]
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [pnlccmojcmeohlpggmfnbbiapkmbliob] - C:\Program Files (x86)\Siber Systems\AI RoboForm\Chrome\rf-chrome.crx <not found>
2016-01-23 09:21 - 2016-01-23 09:21 - 03142710 _____ C:\Users\Юр. отдел1\AppData\Roaming\BC341695BC341695.bmp
2016-01-22 14:51 - 2016-01-22 14:55 - 00000000 ____D C:\Users\Администратор\AppData\Local\Anttworks
2016-01-22 14:51 - 2016-01-22 14:51 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-01-22 14:51 - 2016-01-22 14:51 - 00000000 __SHD C:\ProgramData\Csrss
2016-01-22 14:50 - 2016-01-22 14:50 - 03133494 _____ C:\Users\Администратор\AppData\Roaming\69D6E64469D6E644.bmp
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Администратор\Desktop\README9.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Администратор\Desktop\README8.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Администратор\Desktop\README7.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Администратор\Desktop\README6.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Администратор\Desktop\README5.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Администратор\Desktop\README4.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Администратор\Desktop\README3.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Администратор\Desktop\README2.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Администратор\Desktop\README10.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Администратор\Desktop\README1.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Public\Desktop\README9.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Public\Desktop\README8.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Public\Desktop\README7.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Public\Desktop\README6.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Public\Desktop\README5.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Public\Desktop\README4.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Public\Desktop\README3.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Public\Desktop\README2.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Public\Desktop\README10.txt
2016-01-22 14:50 - 2016-01-22 14:50 - 00000837 _____ C:\Users\Public\Desktop\README1.txt
2016-01-22 03:46 - 2016-01-22 13:33 - 00000837 _____ C:\README9.txt
2016-01-22 03:46 - 2016-01-22 13:33 - 00000837 _____ C:\README8.txt
2016-01-22 03:46 - 2016-01-22 13:33 - 00000837 _____ C:\README7.txt
2016-01-22 03:46 - 2016-01-22 13:33 - 00000837 _____ C:\README6.txt
2016-01-22 03:46 - 2016-01-22 13:33 - 00000837 _____ C:\README5.txt
2016-01-22 03:46 - 2016-01-22 13:33 - 00000837 _____ C:\README4.txt
2016-01-22 03:46 - 2016-01-22 13:33 - 00000837 _____ C:\README3.txt
2016-01-22 03:46 - 2016-01-22 13:33 - 00000837 _____ C:\README2.txt
2016-01-22 03:46 - 2016-01-22 13:33 - 00000837 _____ C:\README10.txt
2016-01-22 03:46 - 2016-01-22 03:46 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-01-22 03:46 - 2016-01-22 03:46 - 00000000 __SHD C:\ProgramData\Windows
2012-06-19 10:12 - 2012-06-19 10:12 - 3993600 _____ () C:\Program Files (x86)\GUT17A0.tmp
2012-03-26 11:12 - 2012-03-26 11:12 - 3993600 _____ () C:\Program Files (x86)\GUT3A93.tmp
2012-08-14 10:22 - 2012-08-14 10:22 - 3993600 _____ () C:\Program Files (x86)\GUT3EC9.tmp
2012-07-04 09:21 - 2012-07-04 09:21 - 3993600 _____ () C:\Program Files (x86)\GUT4EBC.tmp
2012-08-14 08:27 - 2012-08-14 08:27 - 3993600 _____ () C:\Program Files (x86)\GUT5EE4.tmp
2012-08-14 10:33 - 2012-08-14 10:33 - 3993600 _____ () C:\Program Files (x86)\GUT6147.tmp
2012-08-14 08:22 - 2012-08-14 08:22 - 3993600 _____ () C:\Program Files (x86)\GUT93D9.tmp
2012-08-14 08:29 - 2012-08-14 08:29 - 3993600 _____ () C:\Program Files (x86)\GUTA038.tmp
2012-03-26 11:11 - 2012-03-26 11:11 - 3993600 _____ () C:\Program Files (x86)\GUTA21.tmp
2012-03-26 11:12 - 2012-03-26 11:12 - 3993600 _____ () C:\Program Files (x86)\GUTA650.tmp
2012-08-14 10:35 - 2012-08-14 10:35 - 3993600 _____ () C:\Program Files (x86)\GUTA75B.tmp
2012-03-26 11:12 - 2012-03-26 11:12 - 3993600 _____ () C:\Program Files (x86)\GUTBD4A.tmp
2012-08-14 10:23 - 2012-08-14 10:23 - 3993600 _____ () C:\Program Files (x86)\GUTC3C1.tmp
2012-07-04 09:22 - 2012-07-04 09:22 - 3993600 _____ () C:\Program Files (x86)\GUTC503.tmp
2012-08-14 08:30 - 2012-08-14 08:30 - 3993600 _____ () C:\Program Files (x86)\GUTD6F1.tmp
2012-08-14 10:28 - 2012-08-14 10:28 - 3993600 _____ () C:\Program Files (x86)\GUTE40D.tmp
2012-06-19 10:12 - 2012-06-19 10:12 - 3993600 _____ () C:\Program Files (x86)\GUTE5C7.tmp
2012-06-19 10:10 - 2012-06-19 10:10 - 3993600 _____ () C:\Program Files (x86)\GUTF1F7.tmp
2012-03-26 11:12 - 2012-03-26 11:12 - 3993600 _____ () C:\Program Files (x86)\GUTFBDF.tmp
2012-07-04 09:47 - 2012-07-04 09:47 - 3993600 _____ () C:\Program Files (x86)\GUTFE9A.tmp
AlternateDataStreams: C:\ProgramData\TEMP:BF14D50A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:BF14D50A
AlternateDataStreams: C:\Users\Директор\Desktop\Капитал 2008.lnk:com.dropbox.attributes
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\836d~1\appdata\local\temp\1\aa1052d0.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Gen:Trojan.Heur.2mKfX0iEv9jc, AVAST4: Win32:Malware-gen )[*] c:\users\836d~1\appdata\local\temp\1\a587dd74.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Gen:Trojan.Heur.@mKfXOXhTuac, AVAST4: Win32:Malware-gen )[*] c:\users\836d~1\appdata\local\temp\1\cd7978cc.exe - [B]Trojan.Win32.Agentb.bqvf[/B][/LIST][/LIST]