самовольная замена расширения файла в почте

[милен]

При скачивании прикрепленного файла в почте меняется его расширение на zip. А при его скачивании блокируется антивирусником.

[Info_bot]

Уважаемый(ая) милен, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[милен]

отчет

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{DF8FA094-6B79-4D49-A7A1-39ED73C7E7A6}: NameServer = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF8FA094-6B79-4D49-A7A1-39ED73C7E7A6}: NameServer = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF8FA094-6B79-4D49-A7A1-39ED73C7E7A6}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DF8FA094-6B79-4D49-A7A1-39ED73C7E7A6}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DF8FA094-6B79-4D49-A7A1-39ED73C7E7A6}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DF8FA094-6B79-4D49-A7A1-39ED73C7E7A6}: NameServer = 82.202.226.203

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\ProgramData\uBar\uBar\uBar.exe', '');
 QuarantineFile('C:\Users\XATA\AppData\Local\Amigo\Application\amigo.exe', '');
 QuarantineFile('C:\Users\XATA\AppData\Local\Mail.Ru\MailRuUpdater.exe', '');
 QuarantineFile('C:\Users\XATA\AppData\Local\Temp\BqtkgBmULLqv.exe', '');
 QuarantineFile('C:\Users\XATA\AppData\Local\Temp\ccf3.tmp', '');
 QuarantineFile('C:\Users\XATA\AppData\Local\Temp\RIE668~1.EXE', '');
 QuarantineFile('C:\Users\XATA\AppData\Local\Temp\V6yTBdxony38.exe', '');
 QuarantineFile('C:\Users\XATA\AppData\Local\Temp\ZhHDGXcGIcOV.exe', '');
 QuarantineFile('C:\Users\XATA\AppData\Local\yc\Application\yc.exe', '');
 QuarantineFile('C:\Users\XATA\AppData\Roaming\CurrencyConvertor\ml.py', '');
 QuarantineFile('C:\Users\XATA\AppData\Roaming\hchjbomjnabiblpmdppoblmeekclgehb\ml.py', '');
 QuarantineFile('C:\Users\XATA\AppData\Roaming\hchjbomjnabiblpmdppoblmeekclgehb\python\pythonw.exe', '');
 QuarantineFile('C:\Users\XATA\AppData\Roaming\SETUPS~1\ml.py', '');
 QuarantineFile('C:\Users\XATA\AppData\Roaming\setupsk\ml.py', '');
 DeleteFile('C:\ProgramData\uBar\uBar\uBar.exe', '32');
 DeleteFile('C:\Users\XATA\AppData\Local\Amigo\Application\amigo.exe', '32');
 DeleteFile('C:\Users\XATA\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32');
 DeleteFile('C:\Users\XATA\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\XATA\AppData\Local\Temp\BqtkgBmULLqv.exe', '32');
 DeleteFile('C:\Users\XATA\AppData\Local\Temp\ccf3.tmp', '32');
 DeleteFile('C:\Users\XATA\AppData\Local\Temp\RIE668~1.EXE', '32');
 DeleteFile('C:\Users\XATA\AppData\Local\Temp\V6yTBdxony38.exe', '32');
 DeleteFile('C:\Users\XATA\AppData\Local\Temp\ZhHDGXcGIcOV.exe', '32');
 DeleteFile('C:\Users\XATA\AppData\Local\yc\Application\yc.exe', '32');
 DeleteFile('C:\Users\XATA\AppData\Roaming\CurrencyConvertor\ml.py', '32');
 DeleteFile('C:\Users\XATA\AppData\Roaming\hchjbomjnabiblpmdppoblmeekclgehb\ml.py', '32');
 DeleteFile('C:\Users\XATA\AppData\Roaming\hchjbomjnabiblpmdppoblmeekclgehb\python\pythonw.exe', '32');
 DeleteFile('C:\Users\XATA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\XATA\AppData\Roaming\SETUPS~1\ml.py', '32');
 DeleteFile('C:\Users\XATA\AppData\Roaming\setupsk\ml.py', '32');
 DeleteFile('C:\Users\XATA\Favorites\Links\Интернет.url');
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 DeleteFileMask('c:\programdata\ubar', '*', true);
 DeleteFileMask('c:\users\xata\appdata\local\amigo', '*', true);
 DeleteFileMask('c:\users\xata\appdata\local\mail.ru', '*', true);
 DeleteFileMask('c:\users\xata\appdata\local\yc', '*', true);
 DeleteFileMask('c:\users\xata\appdata\roaming\setups~1', '*', true);
 DeleteFileMask('c:\users\xata\appdata\roaming\setupsk', '*', true);
 DeleteDirectory('c:\programdata\ubar');
 DeleteDirectory('c:\users\xata\appdata\local\amigo');
 DeleteDirectory('c:\users\xata\appdata\local\mail.ru');
 DeleteDirectory('c:\users\xata\appdata\local\yc');
 DeleteDirectory('c:\users\xata\appdata\roaming\setups~1');
 DeleteDirectory('c:\users\xata\appdata\roaming\setupsk');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CurrencyConvertor', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fysvysyffm', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hchjbomjnabiblpmdppoblmeekclgehb', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\igpqvalxog', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mtialiphni', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nhixqhgavb', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qakwxtwnql', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\setupsk', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\setupsk_upd', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\speeddialmaker_delete_self', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uBar', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\woysrykkfg', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ycAutoLaunch_A75E298BB1EECD41B669ABFED6F57D77', 'command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

[милен]

Здравствуйте! Куда нужно вставить код, чтобы профиксить?

- - - - -Добавлено - - - - -

112.JPG

[Vvvyg]

Посмотрите по ссылке на слове пофиксите. Скачивать HijackThis.exe не нужно, он уже есть в папке Autologger.

[милен]

114.jpg

- - - - -Добавлено - - - - -

Эту часть я сделала. Никуда код не вставляла, но почта стала работать нормально. Можно на этом остановиться?

[Vvvyg]

Нет, ещё достаточно зловредов в системе. Выполняйте дальнейшие указания.

[милен]

AdwCleaner[S0].txt

- - - - -Добавлено - - - - -

отчет после AdwCleaner
AdwCleaner находится в ожидании действия. Нажимать "очистить" ?

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Просил ещё: Сделайте новый лог Autologger. Сделайте после очистки в AdwCleaner и прикрепите.

[милен]

после очистки отчет от AdwCleanerAdwCleaner[C0].txt

- - - - -Добавлено - - - - -

новый лог Autologger в запрошенном карантине

- - - - -Добавлено - - - - -

У меня теперь не открываются 3ds Max и Viber. Почему и что делать?

[Vvvyg]

Зачем в карантине? Карантин - для вирусов, логи надо прикреплять к сообщению. А Вы в карантин ещё и сам Autologger запихали...

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Загрузите карантин и логи как положено...

[милен]

CollectionLog-2018.01.08-19.50.zip

- - - - -Добавлено - - - - -

AdwCleaner[C0].txt

- - - - -Добавлено - - - - -

Я немного чайник в этом деле

[Vvvyg]

Загрузите нужный карантин - и всё на этом.

[милен]

У меня теперь не открываются 3ds Max и Viber. Почему и что делать?

[Vvvyg]

Их точно никаким образом при лечении не трогали. Переустановите.

[милен]

Еще при удалении любого файла теперь выскакивает сообщение:"Корзина" на диске Е:/ повреждена. Выполнить очистку "Корзины" на этом диске?" Нажимаю да, дальше выходит ошибка, что нет доступа и т.д. Как исправить эту ошибку?

[Vvvyg]

Скачайте Windows Repair (All In One), распакуйте, запустите, "Jump To Repairs", "Open Repairs", отметьте пункт 33.03 "Repair Recycle Bin E:\ и нажмите "Start Repairs".

После перезагрузки проверяйте проблему.

[милен]

Спасибо Вам огромное за Вашу работу! Очень мне помогли!

[Vvvyg]

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.