Printable View
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
119DB532D6911EA988AD|27|2|11
на электронный адрес [EMAIL="[email protected]"][email protected][/EMAIL] или [EMAIL="[email protected]"][email protected][/EMAIL] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Помогите найти и удалить вирус.
Уважаемый(ая) [B]zzzzzz163[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[LIST=1][*]Загрузите GMER по одной из указанных ссылок:
[B][URL="http://www.gmer.net/download.php"]Gmer со случайным именем[/URL][/B] [I](рекомендуется)[/I], [B][URL="http://www.gmer.net/gmer.zip"]Gmer в zip-архиве[/URL][/B] [I](перед применением распаковать в отдельную папку)[/I][*][B]Временно[/B] отключите драйверы эмуляторов дисков.[*]Запустите программу (пользователям [I]Vista/Seven[/I] запускать от имени [B]Администратора[/B] по правой кнопке мыши).[*]Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите [B]No[/B].[*]После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
[LIST][*][B][COLOR="Blue"]Sections[/COLOR][/B][*][B][COLOR="Blue"]IAT/EAT[/COLOR][/B][*][B][COLOR="Blue"]Show all[/COLOR][/B][/LIST][*]Из всех дисков оставьте отмеченным только системный диск (обычно [B]C:\[/B])[*]Нажмите на кнопку [B]Scan[/B] и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите [B]OK[/B].[*]После окончания проверки сохраните его лог (нажмите на кнопку [B]Save[/B]) и вложите в сообщение.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*]Подробную инструкцию читайте в [URL="http://virusinfo.info/showthread.php?t=40118"]руководстве[/URL][/LIST]
Лог Gmer приложил
Сохраните приведённый ниже текст в файл [b]cleanup.bat[/b] в ту же папку, где находится jqp9i6dj.exe случайное имя утилиты (gmer)
[CODE]
jqp9i6dj.exe -del service bxmufjrxu
jqp9i6dj.exe -del service ijitwx
jqp9i6dj.exe -del service yznfl
jqp9i6dj.exe -del file "C:\WINDOWS\system32\wqxscq.dll"
jqp9i6dj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\yznfl"
jqp9i6dj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ijitwx"
jqp9i6dj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\bxmufjrxu"
jqp9i6dj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ijitwx"
jqp9i6dj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bxmufjrxu"
jqp9i6dj.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\ijitwx"
jqp9i6dj.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\bxmufjrxu"
jqp9i6dj.exe -reboot
[/CODE]
И запустите сохранённый пакетный файл [b]cleanup.bat[/b].
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.
Новый лог Gmer. И еще подскажите как в касперском настроить чтобы в следующий раз не смог заразиться им. Заранее спасибо:>
Я думаю тут заражение произошло не по вине Касперского, но об этом я напишу позже.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/B92LqRQ.png[/img]
Добавил оба отчета. Как выясните причину заражения - проясните.
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
C:\Documents and Settings\bojko_r\Local Settings\Temp\_is1.exe
Deletekey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gyfnw
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Лог готов!
Сделайте логи RSIT.
Лог RSIT
Это логи Farbar, а не RSIT.
Упс, вот теперь точно RSIT:>
Пароль на учетной записи Администратора какой-нибудь стоит?
Пароль стоит, вот на всякий случай сделал лог RSIT под Администратором
Длина пароля какая стоит?
9 символов
Что недавно качали и запускали на этом компьютере?
Все те программы, которые указывали для тестирования...