Вирус зашифровал файлы [email protected] [not-a-virus:WebToolbar.Win32.SearchSuite.c ]

[Максим64]

Зашифровано всё, и кинофильмы и фото. Ни каких писем не получал. Как подцепил вируса не знаю. Случилось как раз 16.12.2014 в 12.26, судя по свойствам всех файлов, "изменены". Примеры во вложении, заархивированные, как и положено.
Пишите, что для каждого случая своё "лекарство", поэтому создаю новую, свою тему.

[Info_bot]

Уважаемый(ая) Максим64, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

http://virusinfo.info/pravila.html

[Максим64]

Уважаемый(ая) Максим64, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

Присылаю логи. Надеюсь, сделал всё правильно. С нетерпением жду помощи.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! А система дырявая как решето.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin   
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 SetServiceStart('F06DEFF2-5B9C-490D-910F-35D3A9119622', 4);
 StopService('F06DEFF2-5B9C-490D-910F-35D3A9119622');
 QuarantineFile('C:\Program Files\ver8BlockAndSurf\R0BlockAndSurfQ33.exe','');
 QuarantineFile('c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll','');
 QuarantineFile('C:\Program Files\Movies Toolbar\Datamngr\apcrtldr.dll','');
 QuarantineFile('C:\Program Files\Movies Toolbar\Datamngr\setmgrc1.cfg','');
 QuarantineFile('C:\Program Files\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','');
 DeleteFile('C:\Program Files\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','32');
 DeleteFile('C:\Program Files\Movies Toolbar\Datamngr\setmgrc1.cfg','32');
 DeleteFile('C:\Program Files\Movies Toolbar\Datamngr\apcrtldr.dll','32');
 DeleteFile('c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\BlockAndSurf Update.job','32');
 DeleteFile('C:\Program Files\ver8BlockAndSurf\R0BlockAndSurfQ33.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
 DeleteService('F06DEFF2-5B9C-490D-910F-35D3A9119622');
 DeleteService('DatamngrCoordinator');             
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(9);        
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

O2 - BHO: Movies Toolbar (Dist. by Bandoo Media, Inc.) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - C:\PROGRA~1\MOVIES~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll (file missing)
O3 - Toolbar: Movies Toolbar (Dist. by Bandoo Media, Inc.) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - C:\PROGRA~1\MOVIES~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll (file missing)

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
   
   
   • Sections
   • IAT/EAT
   • Show all
6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
9. Подробную инструкцию читайте в руководстве

[Максим64]

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[thyrex]

Остальные запрошенные логи где?

[mike 1]

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

И обновления ставьте.

[Максим64]

Остальные запрошенные логи где?

Прошу прощения, я не слишком продвинутый ползень, не все инструкции с ходу догоняю. Но я стараюсь.

- - - - -Добавлено - - - - -

И обновления ставьте.

Не увидел где они там (по ссылкам) предлагают обновления по ХР и IE 8. Пишут, что этих дедушек больше не поддерживают. Зато сразу предлагают перейти на W8. Но я ещё попробую.

[mike 1]

Не увидел где они там (по ссылкам) предлагают обновления по ХР и IE 8.

Тогда через центр обновлений Windows их ставьте.

[Максим64]

Остальные запрошенные логи где?

Извиняюсь за задержку. Оставшиеся логи.

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 11
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\movies toolbar\datamngr\setmgrc1.cfg - not-a-virus:WebToolbar.Win32.SearchSuite.c ( DrWEB: Adware.Toolbar.246 )