Добрый вечер,
Очень нужна ваша помощь.
Помогите решить проблему, файлы зашифровали криптостойким алгоритмом.
Заранее спасибо.
Инесса
Printable View
Добрый вечер,
Очень нужна ваша помощь.
Помогите решить проблему, файлы зашифровали криптостойким алгоритмом.
Заранее спасибо.
Инесса
Уважаемый(ая) [B]LUCKY 2010[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DelBHO('{CCC7A320-B3CA-4199-B1A6-9F516DD69829}');
QuarantineFile('C:\Users\1\AppData\Roaming\DAOeo\MMSike.oex','');
QuarantineFile('C:\Program Files\1C\Изменения тарифного плана.exe','');
QuarantineFileF('C:\Program Files\1C', '*.exe,*.dll,*.sys', false,'', 0, 0);
DeleteFile('C:\Program Files\1C\Изменения тарифного плана.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Соберите новый лог AVZ.
Добрый вечер,
Все сделала по инструкции, новый лог AVZ вложен и quarantine.zip тоже
Жду дальнейшие шаги..........;)
Заранее благодарю за оперативный ответ.
Инесса
[QUOTE=SQ;1354571]Здравствуйте,
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DelBHO('{CCC7A320-B3CA-4199-B1A6-9F516DD69829}');
QuarantineFile('C:\Users\1\AppData\Roaming\DAOeo\MMSike.oex','');
QuarantineFile('C:\Program Files\1C\Изменения тарифного плана.exe','');
QuarantineFileF('C:\Program Files\1C', '*.exe,*.dll,*.sys', false,'', 0, 0);
DeleteFile('C:\Program Files\1C\Изменения тарифного плана.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Соберите новый лог AVZ.[/QUOTE]
Сами устанавливали AVG Secure Search?
Обнаружен у Вас на ПК вирус "[B]Trojan-Banker.Win32.Metel.cai[/B]", рекомендуется сменить [B]все пароли[/B].
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\windows\TEMP\{AFB3860C-CBFF-42D9-99D4-B0FA71187881}.exe','');
QuarantineFile('C:\Users\1\AppData\Roaming\DAOeo\MMSike.oex','');
QuarantineFileF('C:\Users\1\AppData\Roaming\DAOeo', '*', false,'', 0, 0);
DeleteFile('C:\Users\1\AppData\Roaming\DAOeo\MMSike.oex','32');
DeleteFileMask('C:\Users\1\AppData\Roaming\DAOeo', '*', true, ' ');
DeleteDirectory('C:\Users\1\AppData\Roaming\DAOeo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','AvgUninstallURL');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Приложите новый лог AVZ.
Добрый вечер,
Я не сама устанавливала антивирус AVG.
В файле новый лог AVZ
Спасибо за быстрый ответ.
Инесса
[QUOTE=SQ;1354654]Сами устанавливали AVG Secure Search?
Обнаружен у Вас на ПК вирус "[B]Trojan-Banker.Win32.Metel.cai[/B]", рекомендуется сменить [B]все пароли[/B].
AVZ [URL="http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804"]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\windows\TEMP\{AFB3860C-CBFF-42D9-99D4-B0FA71187881}.exe','');
QuarantineFile('C:\Users\1\AppData\Roaming\DAOeo\MMSike.oex','');
QuarantineFileF('C:\Users\1\AppData\Roaming\DAOeo', '*', false,'', 0, 0);
DeleteFile('C:\Users\1\AppData\Roaming\DAOeo\MMSike.oex','32');
DeleteFileMask('C:\Users\1\AppData\Roaming\DAOeo', '*', true, ' ');
DeleteDirectory('C:\Users\1\AppData\Roaming\DAOeo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','AvgUninstallURL');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR=#FF0000]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Приложите новый лог AVZ.[/QUOTE]
[QUOTE=LUCKY 2010;1354673]
Я не сама устанавливала антивирус AVG.
[/QUOTE]
Если не используете, то удалите AVG Secure Search через установку программ в панели управления.
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Добрый день,
Приложила файлы, жду дальнейших указаний :)
Спасибо!
Инесса
[QUOTE=SQ;1354683]Если не используете, то удалите AVG Secure Search через установку программ в панели управления.
- Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"][B]Farbar Recovery Scan Tool[/B][/URL] [IMG]http://i.imgur.com/NAAC5Ba.png[/IMG] и сохраните на Рабочем столе.
[B]Примечание[/B]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[LIST][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [B]Yes[/B] для соглашения с предупреждением. [*]Убедитесь, что в окне [B]Optional Scan[/B] отмечены [I]"List BCD"[/I] и [I]"Driver MD5"[/I].
[IMG]http://i.imgur.com/B92LqRQ.png[/IMG] [*]Нажмите кнопку [B]Scan[/B]. [*]После окончания сканирования будет создан отчет ([B]FRST.txt[/B]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. [*]Если программа была запущена в первый раз, будет создан отчет ([B]Addition.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении. [/LIST]
[/QUOTE]
Знакома ли Вам следующее:
[CODE]
ShortcutTarget: SRS Premium Sound.lnk -> C:\Windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut6_96BE12D997374F89986526ECCB660D4F.exe (Acresso Software Inc.)
[/CODE]
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: F - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {0279ca2d-4c4b-11e3-b608-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {13711416-d270-11e2-8d5e-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {1966dd89-2c00-11e3-b2b2-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {1b23f93f-4dcb-11e3-aee6-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {2a186d7c-421b-11e3-83eb-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {56d48317-96a8-11e2-ab52-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {5d28c766-4d14-11e3-a7bd-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {90e481c4-3d4e-11e3-b505-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {9b755d11-4bdf-11e3-aa2e-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {9b755d21-4bdf-11e3-aa2e-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {9c046ea5-9775-11e2-8535-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {ead10f72-3710-11e3-a60b-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {ee303c25-733c-11e1-b9e3-e811321c4d13} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {ee303cf9-733c-11e1-b9e3-e811321c4d13} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {ee303d12-733c-11e1-b9e3-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {f8f909d4-4cf9-11e3-a929-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {f8f909e5-4cf9-11e3-a929-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {f8f909f3-4cf9-11e3-a929-4cedde7ecc6e} - F:\AutoRun.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-2779949607-2878855409-3104488116-1000 -> No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File
Toolbar: HKU\S-1-5-21-2779949607-2878855409-3104488116-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
FF Keyword.URL: hxxp://isearch.avg.com/search?pid=avg&sg=0&cid=%7Bebbfe8f4-ea62-4412-93a4-168568ffd9e0%7D&mid=d86fd3f533a70c13fe2e4af34f7ec047-eda778696cc252de979e3ca19e05a5d99e07887c&ds=AVG&coid=&cmpid=&v=18.3.0.885&lang=ru&pr=pa&d=2011-12-23%2017%3A41%3A15&sap=ku&q=
FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\19.2.0\\npsitesafety.dll [No File]
FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.9.0.230 => not foundCHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\ProgramData\AVG Secure Search\ChromeExt\17.3.0.49\avg.crx <not found>
CustomCLSID: HKU\S-1-5-21-2779949607-2878855409-3104488116-1000_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32 -> %AppData%\DAOeo\MMSike.oex => No File
Task: {8F78EE1A-F0B9-4483-A71A-54FAD07B855E} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\windows\TEMP\{AFB3860C-CBFF-42D9-99D4-B0FA71187881}.exe
Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\windows\TEMP\{AFB3860C-CBFF-42D9-99D4-B0FA71187881}.exe <==== ATTENTION
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
День добрый,
В начале сообщения непонятна фраза "Знакома ли Вам следующее: и далее код...." Что с этим необходимо сделать?
А далее все ясно и в файле лог-файл Fixlog.txt
Спасибо.
Инесса
[QUOTE=SQ;1354789]Знакома ли Вам следующее:
[CODE]
ShortcutTarget: SRS Premium Sound.lnk -> C:\Windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut6_96BE12D997374F89986526ECCB660D4F.exe (Acresso Software Inc.)
[/CODE]
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: F - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {0279ca2d-4c4b-11e3-b608-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {13711416-d270-11e2-8d5e-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {1966dd89-2c00-11e3-b2b2-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {1b23f93f-4dcb-11e3-aee6-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {2a186d7c-421b-11e3-83eb-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {56d48317-96a8-11e2-ab52-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {5d28c766-4d14-11e3-a7bd-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {90e481c4-3d4e-11e3-b505-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {9b755d11-4bdf-11e3-aa2e-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {9b755d21-4bdf-11e3-aa2e-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {9c046ea5-9775-11e2-8535-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {ead10f72-3710-11e3-a60b-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {ee303c25-733c-11e1-b9e3-e811321c4d13} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {ee303cf9-733c-11e1-b9e3-e811321c4d13} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {ee303d12-733c-11e1-b9e3-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {f8f909d4-4cf9-11e3-a929-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {f8f909e5-4cf9-11e3-a929-4cedde7ecc6e} - F:\AutoRun.exe
HKU\S-1-5-21-2779949607-2878855409-3104488116-1000\...\MountPoints2: {f8f909f3-4cf9-11e3-a929-4cedde7ecc6e} - F:\AutoRun.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-2779949607-2878855409-3104488116-1000 -> No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File
Toolbar: HKU\S-1-5-21-2779949607-2878855409-3104488116-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
FF Keyword.URL: hxxp://isearch.avg.com/search?pid=avg&sg=0&cid=%7Bebbfe8f4-ea62-4412-93a4-168568ffd9e0%7D&mid=d86fd3f533a70c13fe2e4af34f7ec047-eda778696cc252de979e3ca19e05a5d99e07887c&ds=AVG&coid=&cmpid=&v=18.3.0.885&lang=ru&pr=pa&d=2011-12-23%2017%3A41%3A15&sap=ku&q=
FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\19.2.0\\npsitesafety.dll [No File]
FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.9.0.230 => not foundCHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\ProgramData\AVG Secure Search\ChromeExt\17.3.0.49\avg.crx <not found>
CustomCLSID: HKU\S-1-5-21-2779949607-2878855409-3104488116-1000_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32 -> %AppData%\DAOeo\MMSike.oex => No File
Task: {8F78EE1A-F0B9-4483-A71A-54FAD07B855E} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\windows\TEMP\{AFB3860C-CBFF-42D9-99D4-B0FA71187881}.exe
Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\windows\TEMP\{AFB3860C-CBFF-42D9-99D4-B0FA71187881}.exe <==== ATTENTION
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST][/QUOTE]
[QUOTE=LUCKY 2010;1354864]День добрый,
В начале сообщения непонятна фраза "Знакома ли Вам следующее: и далее код...." Что с этим необходимо сделать?
[/QUOTE]
Известна ли Вам указанное приложение?
Если нет отправить его на карантин выполнив следующие инструкции:
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
ClearQuarantine;
QuarantineFile('C:\Windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut6_96BE12D997374F89986526ECCB660D4F.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
Сделала, как сказали - прислать запрошенный карантин.
Жду след. указаний.
Инесса
[QUOTE=SQ;1354879]Известна ли Вам указанное приложение?
Если нет отправить его на карантин выполнив следующие инструкции:
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
ClearQuarantine;
QuarantineFile('C:\Windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut6_96BE12D997374F89986526ECCB660D4F.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.[/QUOTE]
[QUOTE=LUCKY 2010;1354883]Сделала, как сказали - прислать запрошенный карантин.
[/QUOTE]
файле ничего вредоносного нет.
С расшифровкой не поможем
Это все, конец и ничего нельзя сделать?:O
[QUOTE=SQ;1354890]файле ничего вредоносного нет.
С расшифровкой не поможем[/QUOTE]
[B]LUCKY 2010[/B], без приватного ключа, который есть только у злоумышленников расшифровать невозможно.
Спасибо, конечно:)
Очень жаль, что не удалось расшифровать:(
Инесса
[QUOTE=SQ;1354895][B]LUCKY 2010[/B], без приватного ключа, который есть только у злоумышленников расшифровать невозможно.[/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\1\appdata\roaming\daoeo\mmsike.oex - [B]Trojan-Banker.Win32.Metel.cai[/B] ( AVAST4: Win32:Crypt-RSW [Trj] )[/LIST][/LIST]