Схлопотал вирус. На рабочем столе заменил обои на черный фон с красной надписью: ВНИМАНИЕ! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах RADME.txt, которые можно найти на любом из дисков.
Один раз перезагружал компьютер после попадания вируса. (проблемы железа)
Прилагаю логи.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Lidnikzero, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\PROGRA~3\SysWOW64\wF4GP.cmd',''); QuarantineFile('C:\ProgramData\services\A86B5C6747183B1C9BBB4181C53F302D.dll',''); TerminateProcessByName('c:\programdata\services\csrss.exe'); TerminateProcessByName('c:\programdata\windows\csrss.exe'); TerminateProcessByName('c:\programdata\drivers\csrss.exe'); TerminateProcessByName('c:\programdata\csrss\csrss.exe'); QuarantineFile('c:\programdata\csrss\csrss.exe',''); QuarantineFile('c:\programdata\drivers\csrss.exe',''); QuarantineFile('c:\programdata\windows\csrss.exe',''); QuarantineFile('c:\programdata\services\csrss.exe',''); DeleteFile('c:\programdata\services\csrss.exe','32'); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('c:\programdata\drivers\csrss.exe','32'); DeleteFile('c:\programdata\csrss\csrss.exe','32'); DeleteFile('C:\ProgramData\services\A86B5C6747183B1C9BBB4181C53F302D.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager'); DeleteFile('C:\PROGRA~3\SysWOW64\wF4GP.cmd','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Command Line Support'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отправил.
Пока все без изменений.
Дочитать до конца не хватило сил? Новые логи Autologger где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Простите.
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отчеты из Farbar
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: CHR StartupUrls: Default -> "hxxps://www.google.ru/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8","hxxp://mail.ru/cnt/10445?gp=newcustom15","hxxp://www.istartsurf.com/?type=hp&ts=1445363835&z=b1dc3f48a3a8fe77f2be3d6g0z2z5w8cfq2c5w9tcq&from=cor&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.mystartsearch.com/?type=hp&ts=1445429460&z=ee79708d9339d90b7e6e3a6gdz8z9waz4oatao2oae&from=cmi&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.istartsurf.com/?type=hp&ts=1445507171&z=141469f1403f757a56e234bgdzazfwcw5e5qdteofb&from=face&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.mystartsearch.com/?type=hp&ts=1445518394&z=71046788de0ef3b8b6364f0gazazdwcw9g7b2gbw9g&from=cmi&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.istartpageing.com/?type=hp&ts=1448219023&z=e360377def5f98cc992ab89g6z4z7b5o4g2t1edo3c&from=cmi&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.istartsurf.com/?type=hp&ts=1448219200&z=e0e681c03d2104ecfc50ec6gdzdz0bfo4gab4bfb6m&from=ima&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.istartpageing.com/?type=hp&ts=1450620019&z=a58dc82d501af0db7a2ebc6g9z5wdefq6o7e4e3ofe&from=cmi&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://mail.ru/cnt/10445?gp=789106","hxxp://www.yoursearching.com/?type=hp&ts=1450622476&z=19acd67f7682ba36686dec1g1z1weecq4o7o7zbm5q&from=face&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.yoursearching.com/?type=hp&ts=1450624477&z=0dc14c0c55d56de115e5832g4zdwee4q8o1z9z0m9m&from=face&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.yoursearching.com/?type=hp&ts=1450691235&z=9b8f2e555205096737b316fgczawbe3qdt1g7o1c6w&from=face&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.istartpageing.com/?type=hp&ts=1450693031&z=89a6e4126a431f011ca002bgdz7w0e9q0t7ccefc2o&from=cmi&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.istartpageing.com/?type=hp&ts=1450696188&z=eefcf1d463beca2baba75e3gcz5w1ecq9t8qeg3bdt&from=cmi&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.yoursearching.com/?type=hp&ts=1450698889&z=f7417d95f415d8db3c6c5f0g5zcwbe6qat0b2b4b1t&from=face&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.istartpageing.com/?type=hp&ts=1450721037&z=7b6bc1ac900037c92a043f2gdzawfebm5odgeefcdm&from=cmi&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.istartpageing.com/?type=hp&ts=1450767738&z=2a66e01cc5138d56e87a705g4z2w5eem2q7m2mfc9m&from=cmi&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.yoursearching.com/?type=hp&ts=1450770128&z=82559501444fd8a168e3366gaz2w0e9m9m7e2geofm&from=face&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.yoursearching.com/?type=hp&ts=1450805629&z=0478c32b65fc28e8961e52bg6z1w3eeb9e9wfq3o8t&from=face&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.yoursearching.com/?type=hp&ts=1450807638&z=44bd5950b0ec3a274e0da0cg2zew2e1b8e3mbq7c0b&from=face&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.yoursearching.com/?type=hp&ts=1450810443&z=2da768c3e2a6215834ce412g6zcwaedb6gee7z4z5o&from=face&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","search.mpc.am","hxxp://www.istartpageing.com/?type=hp&ts=1450860252&z=98f35f8500820445ce1f8fcgbzdweeab4qee8o6weg&from=cmi&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.yoursearching.com/?type=hp&ts=1450872121&z=4ccfcad94c23449a72e20f2g0z5w0e0bam8oag8o5g&from=face&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.yoursearching.com/?type=hp&ts=1450878613&z=dc9a5a6b23536c693603ec9gez6wfe1bam0baqbg8c&from=face&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.istartpageing.com/?type=hp&ts=1450884362&z=5c3a86745bb8f6c48249684g3zaw7e5b4b6z4c9q1o&from=cmi&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://www.istartpageing.com/?type=hp&ts=1450895726&z=5c480211a1a649bd3d18c87g6zew7e7b2t9w4mco3m&from=cmi&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G","hxxp://mail.ru/cnt/10445?gp=801402","hxxp://mail.ru/cnt/10445?gp=820031","hxxp://mail.ru/cnt/10445","hxxp://www.yoursearching.com/?type=hp&ts=1454238268&z=a5738b89c5d95e2e4106a70g5z7w7z4o0c2b8o4q8q&from=face&uid=ST3500418AS_5VM1Q01GXXXX5VM1Q01G" 2017-07-25 22:17 - 2017-08-01 01:28 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64 2017-07-25 22:17 - 2017-08-01 01:28 - 000000000 __SHD C:\Users\Все пользователи\services 2017-07-25 22:17 - 2017-08-01 01:28 - 000000000 __SHD C:\ProgramData\SysWOW64 2017-07-25 22:17 - 2017-08-01 01:28 - 000000000 __SHD C:\ProgramData\services 2017-07-25 22:15 - 2017-08-01 01:28 - 000000000 __SHD C:\Users\Все пользователи\Csrss 2017-07-25 22:15 - 2017-08-01 01:28 - 000000000 __SHD C:\ProgramData\Csrss 2017-07-25 19:34 - 2017-07-25 19:34 - 005292054 _____ C:\Users\Lidnik\AppData\Roaming\20CD2B8220CD2B82.bmp 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Public\Desktop\README9.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Public\Desktop\README8.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Public\Desktop\README7.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Public\Desktop\README6.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Public\Desktop\README5.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Public\Desktop\README4.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Public\Desktop\README3.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Public\Desktop\README2.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Public\Desktop\README10.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Public\Desktop\README1.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Lidnik\Desktop\README9.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Lidnik\Desktop\README8.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Lidnik\Desktop\README7.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Lidnik\Desktop\README6.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Lidnik\Desktop\README5.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Lidnik\Desktop\README4.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Lidnik\Desktop\README3.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Lidnik\Desktop\README2.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Lidnik\Desktop\README10.txt 2017-07-25 19:34 - 2017-07-25 19:34 - 000004154 _____ C:\Users\Lidnik\Desktop\README1.txt 2017-07-24 16:27 - 2017-08-01 01:28 - 000000000 __SHD C:\Users\Все пользователи\Windows 2017-07-24 16:27 - 2017-08-01 01:28 - 000000000 __SHD C:\ProgramData\Windows 2017-07-24 16:27 - 2017-07-24 16:27 - 000004154 _____ C:\README9.txt 2017-07-24 16:27 - 2017-07-24 16:27 - 000004154 _____ C:\README8.txt 2017-07-24 16:27 - 2017-07-24 16:27 - 000004154 _____ C:\README7.txt 2017-07-24 16:27 - 2017-07-24 16:27 - 000004154 _____ C:\README6.txt 2017-07-24 16:27 - 2017-07-24 16:27 - 000004154 _____ C:\README5.txt 2017-07-24 16:27 - 2017-07-24 16:27 - 000004154 _____ C:\README4.txt 2017-07-24 16:27 - 2017-07-24 16:27 - 000004154 _____ C:\README3.txt 2017-07-24 16:27 - 2017-07-24 16:27 - 000004154 _____ C:\README2.txt 2017-07-24 16:27 - 2017-07-24 16:27 - 000004154 _____ C:\README10.txt 2017-07-25 19:35 - 2017-07-25 19:35 - 001497600 _____ () C:\Users\Lidnik\AppData\Local\Temp\658BC339.exe 2017-07-25 22:23 - 2017-07-25 22:23 - 001012224 ___SH () C:\Users\Lidnik\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll 2017-07-25 19:34 - 2017-07-25 19:34 - 001032704 _____ (Microsoft Corporation) C:\Users\Lidnik\AppData\Local\Temp\A95A228D.exe 2017-07-25 19:35 - 2017-07-25 19:35 - 000887808 _____ (Microsoft Corporation) C:\Users\Lidnik\AppData\Local\Temp\F6578384.exe Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание, что будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог файл
Мусор почистили.
С расшифровкой помочь не сможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\csrss\csrss.exe - Trojan.Win32.Agent.nevnwq ( BitDefender: Gen:Trojan.Heur.@mKfX4Dtz1dc, AVAST4: Win32:Malware-gen )
- c:\programdata\drivers\csrss.exe - Trojan.Win32.Agent.nezeod ( BitDefender: Gen:Trojan.Heur.2mKfXadFIYgc )
- c:\programdata\services\a86b5c6747183b1c9bbb4181c5 3f302d.dll - Trojan-Ransom.Win32.Agent.ixi
- c:\programdata\services\csrss.exe - Trojan-Ransom.Win32.Agent.ivl ( BitDefender: Gen:Trojan.Heur.GZ.BnGfbKTesYh )
- c:\programdata\windows\csrss.exe - Trojan.Win32.Fsysna.enlz
Уважаемый(ая) Lidnikzero, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
