При скачивании прикрепленного файла в почте меняется его расширение на zip. А при его скачивании блокируется антивирусником.
Printable View
При скачивании прикрепленного файла в почте меняется его расширение на zip. А при его скачивании блокируется антивирусником.
Уважаемый(ая) [B]милен[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
отчет
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{DF8FA094-6B79-4D49-A7A1-39ED73C7E7A6}: NameServer = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF8FA094-6B79-4D49-A7A1-39ED73C7E7A6}: NameServer = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF8FA094-6B79-4D49-A7A1-39ED73C7E7A6}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DF8FA094-6B79-4D49-A7A1-39ED73C7E7A6}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DF8FA094-6B79-4D49-A7A1-39ED73C7E7A6}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DF8FA094-6B79-4D49-A7A1-39ED73C7E7A6}: NameServer = 82.202.226.203[/code]
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\ProgramData\uBar\uBar\uBar.exe', '');
QuarantineFile('C:\Users\XATA\AppData\Local\Amigo\Application\amigo.exe', '');
QuarantineFile('C:\Users\XATA\AppData\Local\Mail.Ru\MailRuUpdater.exe', '');
QuarantineFile('C:\Users\XATA\AppData\Local\Temp\BqtkgBmULLqv.exe', '');
QuarantineFile('C:\Users\XATA\AppData\Local\Temp\ccf3.tmp', '');
QuarantineFile('C:\Users\XATA\AppData\Local\Temp\RIE668~1.EXE', '');
QuarantineFile('C:\Users\XATA\AppData\Local\Temp\V6yTBdxony38.exe', '');
QuarantineFile('C:\Users\XATA\AppData\Local\Temp\ZhHDGXcGIcOV.exe', '');
QuarantineFile('C:\Users\XATA\AppData\Local\yc\Application\yc.exe', '');
QuarantineFile('C:\Users\XATA\AppData\Roaming\CurrencyConvertor\ml.py', '');
QuarantineFile('C:\Users\XATA\AppData\Roaming\hchjbomjnabiblpmdppoblmeekclgehb\ml.py', '');
QuarantineFile('C:\Users\XATA\AppData\Roaming\hchjbomjnabiblpmdppoblmeekclgehb\python\pythonw.exe', '');
QuarantineFile('C:\Users\XATA\AppData\Roaming\SETUPS~1\ml.py', '');
QuarantineFile('C:\Users\XATA\AppData\Roaming\setupsk\ml.py', '');
DeleteFile('C:\ProgramData\uBar\uBar\uBar.exe', '32');
DeleteFile('C:\Users\XATA\AppData\Local\Amigo\Application\amigo.exe', '32');
DeleteFile('C:\Users\XATA\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32');
DeleteFile('C:\Users\XATA\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
DeleteFile('C:\Users\XATA\AppData\Local\Temp\BqtkgBmULLqv.exe', '32');
DeleteFile('C:\Users\XATA\AppData\Local\Temp\ccf3.tmp', '32');
DeleteFile('C:\Users\XATA\AppData\Local\Temp\RIE668~1.EXE', '32');
DeleteFile('C:\Users\XATA\AppData\Local\Temp\V6yTBdxony38.exe', '32');
DeleteFile('C:\Users\XATA\AppData\Local\Temp\ZhHDGXcGIcOV.exe', '32');
DeleteFile('C:\Users\XATA\AppData\Local\yc\Application\yc.exe', '32');
DeleteFile('C:\Users\XATA\AppData\Roaming\CurrencyConvertor\ml.py', '32');
DeleteFile('C:\Users\XATA\AppData\Roaming\hchjbomjnabiblpmdppoblmeekclgehb\ml.py', '32');
DeleteFile('C:\Users\XATA\AppData\Roaming\hchjbomjnabiblpmdppoblmeekclgehb\python\pythonw.exe', '32');
DeleteFile('C:\Users\XATA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk');
DeleteFile('C:\Users\XATA\AppData\Roaming\SETUPS~1\ml.py', '32');
DeleteFile('C:\Users\XATA\AppData\Roaming\setupsk\ml.py', '32');
DeleteFile('C:\Users\XATA\Favorites\Links\Интернет.url');
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
DeleteFileMask('c:\programdata\ubar', '*', true);
DeleteFileMask('c:\users\xata\appdata\local\amigo', '*', true);
DeleteFileMask('c:\users\xata\appdata\local\mail.ru', '*', true);
DeleteFileMask('c:\users\xata\appdata\local\yc', '*', true);
DeleteFileMask('c:\users\xata\appdata\roaming\setups~1', '*', true);
DeleteFileMask('c:\users\xata\appdata\roaming\setupsk', '*', true);
DeleteDirectory('c:\programdata\ubar');
DeleteDirectory('c:\users\xata\appdata\local\amigo');
DeleteDirectory('c:\users\xata\appdata\local\mail.ru');
DeleteDirectory('c:\users\xata\appdata\local\yc');
DeleteDirectory('c:\users\xata\appdata\roaming\setups~1');
DeleteDirectory('c:\users\xata\appdata\roaming\setupsk');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CurrencyConvertor', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fysvysyffm', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hchjbomjnabiblpmdppoblmeekclgehb', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\igpqvalxog', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mtialiphni', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nhixqhgavb', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qakwxtwnql', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\setupsk', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\setupsk_upd', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\speeddialmaker_delete_self', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uBar', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\woysrykkfg', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ycAutoLaunch_A75E298BB1EECD41B669ABFED6F57D77', 'command');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(21);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог Autologger.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].
Здравствуйте! Куда нужно вставить код, чтобы профиксить?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[ATTACH=CONFIG]668317[/ATTACH]
Посмотрите по ссылке на слове [U]пофиксите[/U]. Скачивать HijackThis.exe не нужно, он уже есть в папке Autologger.
[ATTACH=CONFIG]668318[/ATTACH]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Эту часть я сделала. Никуда код не вставляла, но почта стала работать нормально. Можно на этом остановиться?
Нет, ещё достаточно зловредов в системе. Выполняйте дальнейшие указания.
[ATTACH]668321[/ATTACH]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
отчет после AdwCleaner
AdwCleaner находится в ожидании действия. Нажимать "очистить" ?
[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Просил ещё: [I]Сделайте новый лог Autologger.[/I] Сделайте после очистки в AdwCleaner и прикрепите.
после очистки отчет от AdwCleaner[ATTACH]668334[/ATTACH]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
новый лог Autologger в запрошенном карантине
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
У меня теперь не открываются 3ds Max и Viber. Почему и что делать?
Зачем в карантине? :O Карантин - для вирусов, логи надо прикреплять к сообщению. А Вы в карантин ещё и сам Autologger запихали...
[COLOR="#B22222"]В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.[/COLOR]
Загрузите карантин и логи как положено...
[ATTACH]668337[/ATTACH]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[ATTACH]668338[/ATTACH]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Я немного чайник в этом деле :)
Загрузите нужный карантин - и всё на этом.
У меня теперь не открываются 3ds Max и Viber. Почему и что делать?
Их точно никаким образом при лечении не трогали. Переустановите.
Еще при удалении любого файла теперь выскакивает сообщение:"Корзина" на диске Е:/ повреждена. Выполнить очистку "Корзины" на этом диске?" Нажимаю да, дальше выходит ошибка, что нет доступа и т.д. Как исправить эту ошибку?
Скачайте [URL="http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio.zip"]Windows Repair (All In One)[/URL], распакуйте, запустите, "Jump To Repairs", "Open Repairs", отметьте пункт [B]33.03 "Repair Recycle Bin E:\[/B] и нажмите "[B]Start Repairs[/B]".
После перезагрузки проверяйте проблему.
Спасибо Вам огромное за Вашу работу! Очень мне помогли!
Запустите AdwCleaner и нажмите [B]Файл (File) -> Деинсталлировать (Uninstall)[/B].
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].