Зашифровались все файлы, прошу помощи.
hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
Зашифровались все файлы, прошу помощи.
hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
Уважаемый(ая) Crazyfish, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Прошу прощения, опечатка в теме [email protected]_134 , ну думаю и так догадались
Пересоздайте ярлыки запуска браузеров
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\PROGRA~3\Mozilla\iqvtmyi.exe',''); QuarantineFile('C:\Users\532B~1\AppData\Local\Temp\rad20DEE.tmp.exe',''); QuarantineFile('C:\Users\Ирина\AppData\Roaming\netprotocol.exe',''); QuarantineFile('C:\Users\Ирина\AppData\Local\Temp\1jfuweif.exe',''); QuarantineFile('C:\Users\Ирина\AppData\Local\Google\Update\gupdate.exe',''); QuarantineFile('C:\Users\532B~1\AppData\Local\Temp\024179~1.EXE',''); QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Users\532B~1\AppData\Local\Temp\application\328.exe',''); DeleteService('ApplicationService'); TerminateProcessByName('c:\users\Ирина\appdata\local\nvidia corporation\update\daemonupd.exe'); QuarantineFile('c:\users\Ирина\appdata\local\nvidia corporation\update\daemonupd.exe',''); DeleteFile('c:\users\Ирина\appdata\local\nvidia corporation\update\daemonupd.exe','32'); DeleteFile('C:\Users\532B~1\AppData\Local\Temp\application\328.exe','32'); DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\Users\532B~1\AppData\Local\Temp\024179~1.EXE','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','userinit'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService'); DeleteFile('C:\Users\Ирина\AppData\Local\Temp\1jfuweif.exe','32'); DeleteFile('C:\Users\Ирина\AppData\Roaming\netprotocol.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','Netprotocol'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','1jfuweif.exe'); DeleteFile('C:\Windows\system32\Tasks\At1.job','64'); DeleteFile('C:\Users\532B~1\AppData\Local\Temp\4996150aq','32'); DeleteFile('C:\Users\532B~1\AppData\Local\Temp\rad20DEE.tmp.exe','32'); DeleteFile('C:\Windows\Tasks\dfybpj0g.job','64'); DeleteFile('C:\Windows\system32\Tasks\At1','64'); DeleteFile('C:\PROGRA~3\Mozilla\iqvtmyi.exe','32'); DeleteFile('C:\Windows\system32\Tasks\awjmprn','64'); DeleteFile('C:\Windows\system32\Tasks\dfybpj0g','64'); DeleteFileMask('C:\Program Files\Zaxar', '*', true); DeleteDirectory('C:\Program Files\Zaxar'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин отправил, лог готов.
MBAM-log-2014-01-22 (10-55-40).txt
- - - Добавлено - - -
повторные логи
hijackthis.log
Удалите в МВАМ только указанные ниже записиКод:Обнаруженные ключи в реестре: 1 HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Действие не было предпринято. Обнаруженные папки: 3 C:\Program Files (x86)\Sl\Zp (Trojan.Agent.VBS) -> Действие не было предпринято. Обнаруженные файлы: 13 C:\Users\Ирина\AppData\Local\Google\Update\gupdate.exe (Trojan.Agent.EDNS) -> Действие не было предпринято. C:\Users\Ирина\AppData\Local\Microsoft\Windows\winupdate.exe (Trojan.Agent.EDNS) -> Действие не было предпринято. C:\Users\Ирина\Desktop\avz4\avz4\Quarantine\2014-01-21\avz00001.dta (Trojan.Agent.EDNS) -> Действие не было предпринято. C:\Users\Ирина\Desktop\avz4\avz4\Quarantine\2014-01-21\avz00002.dta (Trojan.Agent.EDNS) -> Действие не было предпринято. C:\Users\Ирина\Desktop\avz4\avz4\Quarantine\2014-01-21\avz00003.dta (Trojan.Agent.EDNS) -> Действие не было предпринято. C:\Users\Ирина\Desktop\avz4\avz4\Quarantine\2014-01-22\avz00001.dta (Trojan.Agent.EDNS) -> Действие не было предпринято. C:\Users\Ирина\Desktop\avz4\avz4\Quarantine\2014-01-22\avz00002.dta (Trojan.Agent.EDNS) -> Действие не было предпринято. C:\Users\Ирина\Local Settings\Application Data\Microsoft\Windows\winupdate.exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\Ирина\Local Settings\Application Data\Google\Update\gupdate.exe (Trojan.Agent) -> Действие не было предпринято. C:\Program Files (x86)\Sl\Zp\gde_manya_zdut.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил записи, какие дальнейшие действия?
- - - Добавлено - - -
Сделал повторное сканирование.
MBAM-log-2014-01-22 (10-55-40).txt
hijackthis.log
Это старый лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
И правда не тот, вот нормальный. Прошу прощения
hijackthis.log
MBAM-log-2014-01-23 (11-51-20).txt
Порядок
Дешифратором для данной модификации пока никто не поделился
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ну будем надеяться что появится в ближайшее время... держите в курсе по возможности
Ваше право, только ожидание может быть долгим и бесполезным
В последнее время число поделившихся неуклонно стремится к нулю. Каждый пострадавший, похоже, живет по принципу: спасение утопающих - дело рук самих утопающих. Увы
P.S. На данный момент ситуация такова: у злоумышленников заблокировали почту, если будете покупать у них (как бы это не способствовало их "бизнесу"), пишите на [email protected] и делитесь, чтобы мы могли помочь таким же пострадавшим, как и Вы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Пришлось приобрести этот дешифратор, кому интересны подробности, пишите в ПМ.
Crazyfish, пришлите, если не жалко, мне на почту
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\users\ирина\appdata\local\google\update\gupdate .exe - Trojan.Win32.Agentb.anux ( BitDefender: Gen:Variant.Kazy.310017, AVAST4: Win32:Downloader-UPS [Trj] )
- c:\users\ирина\appdata\local\nvidia corporation\update\daemonupd.exe - Trojan.Win32.Agentb.anux ( BitDefender: Gen:Variant.Kazy.310017, AVAST4: Win32:Downloader-UPS [Trj] )
Уважаемый(ая) Crazyfish, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.