Здравствуйте и процветайте! Поймала Sporu, зашифровались все доки в сетевых папках.Знаю что дешифратора пока нет, но подскажите как поймать эту пакость. Проверила CureIt, AnVir,Касперским. Выдал несколько троянов но среди них не было 10.103. Посоветуйте что еще можно предпринять.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Батаева, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
исправилась
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); QuarantineFile('C:\Windows\c1.exe',''); QuarantineFile('C:\Windows\cuda.exe',''); QuarantineFile('C:\Program Files\WiperSoft\WiperSoft.exe',''); QuarantineFile('C:\Users\ksanka.VRPM\AppData\Local\Microsoft\Extensions\safebrowser.exe',''); QuarantineFile('c:\windows\core.exe',''); QuarantineFile('C:\Program Files\Common Files\Distribute Application\appdistrib.exe',''); QuarantineFile('C:\Users\ksanka.VRPM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Twilight Pretty Search.lnk',''); QuarantineFile('C:\Users\ksanka.VRPM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Kinoroom Browser.lnk',''); QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe',''); DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','32'); DeleteFile('C:\Users\ksanka.VRPM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Kinoroom Browser.lnk','32'); DeleteFile('C:\Users\ksanka.VRPM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Twilight Pretty Search.lnk','32'); DeleteFile('C:\Program Files\Common Files\Distribute Application\appdistrib.exe','32'); DeleteFile('C:\Windows\system32\Tasks\appdistrib','32'); DeleteFile('c:\windows\core.exe','32'); DeleteFile('C:\Windows\system32\Tasks\UpCH','32'); DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32'); DeleteFile('C:\Users\ksanka.VRPM\AppData\Local\Microsoft\Extensions\safebrowser.exe','32'); DeleteFile('C:\Windows\cuda.exe','32'); DeleteFile('C:\Windows\c1.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
результат
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
готово
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\ksanka.VRPM\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\ksanka.VRPM\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\ksanka.VRPM\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\ksanka.VRPM\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\ksanka.VRPM\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3443611449-2964540119-3293674539-1111_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath Task: {04C047DA-CFE2-4926-B7B1-154D5EB60C5B} - \appdistrib -> No File <==== ATTENTION Task: {0D9B5D92-3A22-486D-A887-3AA21597CF27} - \Microsoft\Windows\Time Synchronization\SynchronizeTime -> No File <==== ATTENTION Task: {2A9A6D01-80B7-43BE-85F2-84462F437774} - \Safebrowser -> No File <==== ATTENTION Task: {56DB3D8E-A29B-4CA8-A567-7157BC19BD8F} - \Kbupdater Utility -> No File <==== ATTENTION Task: {6AEF0C98-2CB4-4B67-8C70-4C977C7355CC} - \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION Task: {8A5ABFD7-2AD0-4CCF-A898-A2E63ECE6321} - \UpCH -> No File <==== ATTENTION Task: {CD2C9B68-8198-4885-8D5C-B9DB84399AF4} - \UpnCH -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:1A15E356 [216] AlternateDataStreams: C:\ProgramData\TEMP:2D6D1D25 [252] AlternateDataStreams: C:\ProgramData\TEMP:5C353220 [136] AlternateDataStreams: C:\ProgramData\TEMP:5F59E8EA [159] AlternateDataStreams: C:\ProgramData\TEMP:638A134E [127] AlternateDataStreams: C:\ProgramData\TEMP:6A0A47E7 [126] AlternateDataStreams: C:\ProgramData\TEMP:6C3B8FB5 [370] AlternateDataStreams: C:\ProgramData\TEMP:7B9BB187 [146] AlternateDataStreams: C:\ProgramData\TEMP:87A3A233 [179] AlternateDataStreams: C:\ProgramData\TEMP:890CC2F3 [127] AlternateDataStreams: C:\ProgramData\TEMP:8A0EFC75 [138] AlternateDataStreams: C:\ProgramData\TEMP:8E5EA40F [382] AlternateDataStreams: C:\ProgramData\TEMP:A31FAD21 [178] AlternateDataStreams: C:\ProgramData\TEMP:C0E4282C [117] AlternateDataStreams: C:\Users\Все пользователи\TEMP:1A15E356 [216] AlternateDataStreams: C:\Users\Все пользователи\TEMP:2D6D1D25 [252] AlternateDataStreams: C:\Users\Все пользователи\TEMP:5C353220 [136] AlternateDataStreams: C:\Users\Все пользователи\TEMP:5F59E8EA [159] AlternateDataStreams: C:\Users\Все пользователи\TEMP:638A134E [127] AlternateDataStreams: C:\Users\Все пользователи\TEMP:6A0A47E7 [126] AlternateDataStreams: C:\Users\Все пользователи\TEMP:6C3B8FB5 [370] AlternateDataStreams: C:\Users\Все пользователи\TEMP:7B9BB187 [146] AlternateDataStreams: C:\Users\Все пользователи\TEMP:87A3A233 [179] AlternateDataStreams: C:\Users\Все пользователи\TEMP:890CC2F3 [127] AlternateDataStreams: C:\Users\Все пользователи\TEMP:8A0EFC75 [138] AlternateDataStreams: C:\Users\Все пользователи\TEMP:8E5EA40F [382] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A31FAD21 [178] AlternateDataStreams: C:\Users\Все пользователи\TEMP:C0E4282C [117] AlternateDataStreams: C:\Users\Оксана\Local Settings:wa [146] AlternateDataStreams: C:\Users\Оксана\AppData\Local:wa [146] AlternateDataStreams: C:\Users\Оксана\AppData\Local\Application Data:wa [146] Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание, что будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\kbupdater utility\kbupdater-utility.exe - not-a-virus:Downloader.Win32.Agent.dgwb ( DrWEB: Trojan.DownLoader11.64537 )
- c:\windows\cuda.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.jtz ( DrWEB: Tool.BtcMine.243, BitDefender: Trojan.Generic.11901028 )
- c:\windows\c1.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.msg ( DrWEB: Tool.BtcMine.277, BitDefender: Gen:Variant.Kazy.350301 )
Уважаемый(ая) Батаева, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
