Здравствуйте. Пришло мне письмо с вложенныи файлом "карточка предприятия.zip" К вечеру зашифровал все jpg, xls и doc. Все рекомендованные процедуры выполнил файлы прилагаю. Заранее спасибо.
Printable View
Здравствуйте. Пришло мне письмо с вложенныи файлом "карточка предприятия.zip" К вечеру зашифровал все jpg, xls и doc. Все рекомендованные процедуры выполнил файлы прилагаю. Заранее спасибо.
Уважаемый(ая) [B]Faster*63[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Неужели не сможете помочь? Помогите, ПОЖАЛУЙСТА...
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Paul\appdata\roaming\pricef~1\update~1\update~1.exe','');
QuarantineFile('C:\Users\Paul\AppData\Local\Microsoft\Windows\toolbar.exe','');
QuarantineFile('C:\Users\Paul\AppData\Local\PriceFountain\pricefountain.exe','');
QuarantineFile('C:\Users\Paul\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Paul\AppData\Roaming\Browsers\exe.xoferif.bat','');
DeleteFile('C:\Users\Paul\AppData\Roaming\Browsers\exe.xoferif.bat','32');
DeleteFile('C:\Users\Paul\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Paul\AppData\Local\PriceFountain\pricefountain.exe','32');
DeleteFile('C:\Users\Paul\AppData\Local\Microsoft\Windows\toolbar.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
DeleteFile('C:\Windows\system32\Tasks\PFExe','64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','test');
DeleteFile('C:\Program Files (x86)\test\Bind.exe','32');
DeleteFile('D:\IQIYI Video\Common\HCDNClient.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HCDNClient');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
DeleteFile('C:\Users\Paul\appdata\roaming\pricef~1\update~1\update~1.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.
Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowsers' Lnk[/url]
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
Сделал
Определитесь с местом где будете продолжать лечение.
[QUOTE=mike 1;1358656]Определитесь с местом где будете продолжать лечение.[/QUOTE]
Извините ещё раз. Что мне прислать? Продолжаю тут. Спасибо за понимание.
Я с Вами... Что делаем?
Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделал...
Я разве такой лог просил после работы ClearLNK прислать?
Извините. Видимо что то не так перенёс((
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Опять, кстати, пришло на мыло письмо с данным вирусом в формате *.rar. Мне с ним что нибудь делать. Он Вам нужен для исследования??
Удалите в МВАМ все, [B]кроме[/B][CODE]RiskWare.Tool.CK, C:\Windows\KMService.exe, 1948, , [bc09e37e7a1ff83eb88bb15ab74be51b]
Папки: 2
Rogue.Multiple, C:\Users\Paul\AppData\Local\QIP, , [03c295cc19801224fe751a9c778b7789],
Rogue.Multiple, C:\Users\Paul\AppData\Local\QIP\QIP Shot, , [03c295cc19801224fe751a9c778b7789],
Файлы: 17
RiskWare.Tool.CK, C:\Windows\KMService.exe, , [bc09e37e7a1ff83eb88bb15ab74be51b],
CrackTool.Agent, C:\Program Files (x86)\AVS4YOU\AVSVideoConverter\avs4you.all.products.activator.v1.3b-mpt\avs4you.all.products.activator.v1.3b-MPT.exe, , [f0d559080990f93d670d32763ec2fc04],
PUP.Optional.InstallMonetizer, C:\Users\Paul\AppData\Local\Temp\nsv908C.tmp\nsManeshWeb.dll, , [bf06cc951b7e0036da6d3af4649eaf51],
PUP.Optional.Bandoo.AppFlsh, C:\Users\Paul\AppData\Local\Temp\DTX\Reporting\ReportingHelper.dll, , [b60fd190d3c6e155b34b8c7d53b2f20e],
PUP.Optional.Bandoo.AppFlsh, C:\Users\Paul\Downloads\jZipSetup-r113-n-bf.exe, , [8144ff620495d066a76705b032cfaf51],
PUP.Optional.InstallCore, C:\Users\Paul\Downloads\DownloadManagerSetup(1).exe, , [11b4461b64353ef8648d6edbef1242be],
PUP.Optional.JumpyApps, C:\Users\Paul\Downloads\DownloadManagerSetup.exe, , [7550045d5148be78e50663515ca4c43c],
HackTool.FilePatcher, C:\Users\Paul\Downloads\PPT to Video Scout 1.43\Crack.exe, , [9a2b65fcb0e90b2b9d11d8a06c95e818],
RiskWare.Tool.HCK, C:\Users\Paul\Downloads\maya2015\xf-adsk2015_x64.exe, , [566f72ef25740234d9aa5fa5719053ad],
RiskWare.FilePatcher, C:\Program Files\Soft Gold\ABViewer 10\Patch-REPT.exe, , [e4e1520f0a8f9a9ce290423820e13ec2],
PUP.Optional.OpenCandy, D:\Downloads\winamp563_full_emusic-7plus_all.exe, , [4481035e6b2ec274d77fba4413f1ad53], [/CODE]
Как то так)
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Во вложении, на всякий случай, положил и "старые" логи, которые делал дней 10 тому назад. Спасибо.
Лог FRST.txt пустой. Переделывайте
Переделал, извините.
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2961700726-2720485833-316488474-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Handler: WSAMVCUchrome - {086BD280-4613-43B5 - No File
C:\Users\Paul\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Paul\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Paul\AppData\Local\Temp\AmigoDistrib.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Вот!