Помогите расшифровать вайлы cripttt
Printable View
Помогите расшифровать вайлы cripttt
Уважаемый(ая) [B]Алексей Цыповский[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
StopService('innfd_1_10_0_14');
StopService('qknfd');
DeleteService('innfd_1_10_0_14');
DeleteService('qknfd');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-5.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-7.exe','');
QuarantineFile('C:\Program Files (x86)\Video Saver\g1mkSiC.exe','');
QuarantineFile('C:\Users\Данила\AppData\Local\PriceMeter\TEMP\pricemeter.exe','');
QuarantineFile('C:\Users\Данила\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\Users\Данила\AppData\Roaming\Dorrible\Ribble\d.exe','');
QuarantineFile('C:\Users\Данила\AppData\Roaming\oursurfing\UninstallManager.exe','');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-5.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV07.05\526617a0-6ef3-46e1-bfe9-84dfee40c326-7.exe','32');
DeleteFile('C:\Program Files (x86)\Video Saver\g1mkSiC.exe','32');
DeleteFile('C:\Users\Данила\AppData\Local\PriceMeter\TEMP\pricemeter.exe','32');
DeleteFile('C:\Users\Данила\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Users\Данила\AppData\Roaming\Dorrible\Ribble\d.exe','32');
DeleteFile('C:\Users\Данила\AppData\Roaming\oursurfing\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
DeleteFile('C:\Windows\system32\Tasks\526617a0-6ef3-46e1-bfe9-84dfee40c326-1-7','64');
DeleteFile('C:\Windows\system32\Tasks\526617a0-6ef3-46e1-bfe9-84dfee40c326-5','64');
DeleteFile('C:\Windows\system32\Tasks\526617a0-6ef3-46e1-bfe9-84dfee40c326-7','64');
DeleteFile('C:\Windows\system32\Tasks\pricemetertask','64');
DeleteFile('C:\Windows\system32\Tasks\Ribble','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for Video Saver','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for Video Saver2','64');
DeleteFile('C:\Windows\system32\Tasks\{A01E34E3-2164-4817-AC7C-5DFCC5719F61}','64');
DeleteFile('C:\Windows\Tasks\Update Service for Video Saver.job','32');
DeleteFile('C:\Windows\Tasks\Update Service for Video Saver2.job','32');
RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
- Сделайте лог [URL=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/URL] и приложите его в теме.
Вот два отчета из Adw и Check_Browsers
Удалите ярлык:
[QUOTE]C:\Users\Данила\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Маil.Ru.lnk[/QUOTE]
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Спасибо за то что помогаете. Надеюсь все получиться. Вот файл после очистки.
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
+ пришлите образцы поврежденных файлов
Вот
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Файл в архиве
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR HKU\S-1-5-21-2545041856-702347858-3599998081-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKLM-x32 - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
FF Plugin-x32: @altergeo.ru/Html5loc -> C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\npHtml5loc.dll [No File]
FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
FF Plugin HKU\S-1-5-21-2545041856-702347858-3599998081-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
FF Plugin HKU\S-1-5-21-2545041856-702347858-3599998081-1000: @mail.ru/GameCenter -> C:\Users\Данила\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
FF Extension: No Name - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF Extension: No Name - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Данила\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
Folder: C:\Users\Данила\AppData\Local\GHISLER
Folder: C:\Users\Данила\AppData\Local\DragOn
Folder: C:\ProgramData\BOINC
Folder: C:\Windows\SysWOW64\TimeCtrlLibs
Folder: C:\Users\Данила\AppData\Local\screentk
C:\Users\Данила\AppData\Local\Temp\k017wjik.dll
C:\Users\Данила\AppData\Local\Temp\offer-C2FD3161-50B8-4813-9A11-351704E3366A.exe
C:\Users\Данила\AppData\Local\Temp\SBtSyshPfMQK.exe
C:\Users\Данила\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Данила\AppData\Local\Temp\sRntG1p9ES1q.exe
C:\Users\Данила\AppData\Local\Temp\tmpEA10.exe
C:\Users\Данила\AppData\Local\Temp\UmmyRadio.exe
C:\Users\Данила\AppData\Local\Temp\UmmyVideoDownloader.exe
C:\Users\Данила\AppData\Local\Temp\VMzqiIjb1pql.exe
C:\Users\Данила\AppData\Local\Temp\Y65laB9Y0PNl.exe
C:\Users\Данила\AppData\Local\Temp\YandexWorking.exe
Task: {175799DC-E7CB-486A-9FFB-A209CD8C7F52} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-1-7 -> No File <==== ATTENTION
Task: {532A9EDB-ACE0-467C-B964-4407670A614D} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-1-6 -> No File <==== ATTENTION
Task: {5E1594CD-D270-44A3-9A1E-F152CB9DF1EC} - \{A01E34E3-2164-4817-AC7C-5DFCC5719F61} -> No File <==== ATTENTION
Task: {BACA762A-40E0-44D4-8AAB-9C928E426946} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-7 -> No File <==== ATTENTION
Task: {D8D5CC3D-97CD-400F-817A-091F20DA024D} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-5 -> No File <==== ATTENTION
Task: {F428D13C-CCB1-47B3-94AE-2DE72A2C8AC7} - \526617a0-6ef3-46e1-bfe9-84dfee40c326-6 -> No File <==== ATTENTION
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Обратите внимание замечаны ошибки в файловой системе:
[QUOTE]2016-02-27 19:57 - 2016-02-27 19:57 - 00000000 __SHD C:\found.003[/QUOTE]
Прешлось в rar сделать привышал размер
Проверьте ЛС
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\данила\appdata\local\yandex\browser.bat - [B]not-a-virus:AdWare.BAT.Clicker.af[/B][/LIST][/LIST]