Здравствуйте! Фотографии и файлы MS office зашифрованы с расширением [email protected]_lot4004.
Вы моя последняя надежда.
Во вложении 2 файла по инструкции.
Здравствуйте! Фотографии и файлы MS office зашифрованы с расширением [email protected]_lot4004.
Вы моя последняя надежда.
Во вложении 2 файла по инструкции.
Уважаемый(ая) denis.kulemalin, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\autorun.inf',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('D:\java.exe',''); QuarantineFile('C:\Windows\system32\cam2_sv.exe',''); QuarantineFile('C:\Users\Денис.Denis\appdata\local\microsoft\windows\winupdate.exe',''); QuarantineFile('c:\users\Денис\4273838.exe',''); QuarantineFile('C:\Users\Денис.Denis\AppData\Roaming\Soisex\ugyko.exe',''); QuarantineFile('C:\Users\Денис.Denis\AppData\Roaming\Azaf\gimue.exe',''); QuarantineFile('C:\Users\Денис.Denis\AppData\Local\jerlobw.dll',''); QuarantineFile('C:\Users\Денис.Denis\AppData\Local\Temp\tmpd22b3958\svmgr.exe',''); QuarantineFile('C:\Users\Денис.Denis\AppData\Local\Temp\87.exe',''); QuarantineFile('C:\Users\Денис.Denis\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe',''); QuarantineFile('C:\Users\Денис.Denis\AppData\Local\Google\Update\gupdate.exe',''); QuarantineFile('C:\Recycle.Bin\B6232F3AC3A.exe',''); QuarantineFile('C:\Users\C5E9~1.DEN\AppData\Local\Temp\~dmp6441754998379937930.tmp.exe',''); QuarantineFile('C:\PROGRA~3\LOCALS~1\Temp\msunquf.bat',''); QuarantineFile('C:\PROGRA~2\SEARCH~1\Datamngr\DATAMN~1.EXE',''); DeleteFile('C:\PROGRA~2\SEARCH~1\Datamngr\DATAMN~1.EXE','32'); DeleteFile('C:\PROGRA~3\LOCALS~1\Temp\msunquf.bat','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','22333'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DATAMNGR','command'); DeleteFile('C:\Users\C5E9~1.DEN\AppData\Local\Temp\~dmp6441754998379937930.tmp.exe','32'); DeleteFile('C:\Recycle.Bin\B6232F3AC3A.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\4Y3Y0C3A9F7W1W5DPTGEN','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xbc2uxj','command'); DeleteFile('C:\Users\Денис.Denis\AppData\Local\Google\Update\gupdate.exe','32'); DeleteFile('C:\Users\Денис.Denis\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe','32'); DeleteFile('C:\Users\Денис.Denis\AppData\Local\Temp\87.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Updater'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NvUpdService','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update','command'); DeleteFile('C:\Users\Денис.Denis\AppData\Local\Temp\tmpd22b3958\svmgr.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ophprovx','command'); DeleteFile('C:\Users\Денис.Denis\AppData\Local\jerlobw.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jerlobw','DLLName'); DeleteFile('C:\Users\Денис.Denis\AppData\Roaming\Azaf\gimue.exe','32'); DeleteFile('C:\Users\Денис.Denis\AppData\Roaming\Microsoft\Windows\Templates\Microsoft\java.exe','32'); DeleteFile('C:\Users\Денис.Denis\AppData\Roaming\Soisex\ugyko.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{BB23F7AA-897A-FDBF-584D-8F18BC112E9C}','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ac53c34de334ddbceb4c','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{815792CE-DFB8-E7A9-C72D-32D4F34BB1BA}','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\jerlobw','command'); DeleteFile('c:\users\Денис\4273838.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\explorer','command'); DeleteFile('C:\Windows\Tasks\o18zflnf.job','64'); DeleteFile('C:\Windows\Tasks\xbc2uxj.job','64'); DeleteFile('C:\Windows\system32\Tasks\o18zflnf','64'); DeleteFile('C:\Windows\system32\Tasks\xbc2uxj','64'); DeleteFile('C:\Users\Денис.Denis\appdata\local\microsoft\windows\winupdate.exe','32'); DeleteFile('D:\java.exe','32'); DeleteFile('D:\autorun.inf','32'); DeleteFile('C:\autorun.inf','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все сделал как просили
Удалите в МВАМ все, кромеКод:Processes: 1 Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 2604, , [0000bb4535cb10f0e877ec5eee12de22] Files: 586 Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [0000bb4535cb10f0e877ec5eee12de22], PUP.GameTool, C:\Program Files (x86)\ICCup\Launcher\iccwc3.icc, , [48b8af5101ff3fc16b2385e56997a060], PUP.Optional.Bandoo, C:\Users\???µ????N?\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SBIU020Z\iLividSetup[1].exe, , [7d83a759b749788859c0877b4db4ab55], Trojan.Agent, C:\Windows\SysWOW64\cam2_sv.exe, , [0ef28c7405fbaa56c87012838d74e020], PUP.RiskwareTool.CK, D:\SKIDROW\SKIDROW\paul.dll, , [649cd7298b7516ea4f659be9db257987], Trojan.Downloader.H, D:\SKIDROW\SKIDROW\SKIDROW.dll, , [24dc28d8669a0af67260fbbf2ed346ba], PUP.Optional.LoadMoney, D:\music3\kid_cudi_-_i_hear_them_calling_me_tristeza_dubstep_remix_zaycev_net.exe, , [fa06b7498f713ac66ad882b949b8e41c], PUP.Adware.MediaGet, D:\Program files\kmplayer_database_definitions.exe, , [4fb142be3ac6817f18b49f6880805da3], Malware.Gen, D:\Program files\GarenaMaster\DATA\DLL\GarenaPlus.dll, , [5aa6ae52f907669af90bed6851af8c74], Malware.Gen, D:\Program files\GarenaMaster\DATA\DLL\Warcraft3.dll, , [1de38779dc24f10ffa0a0b4a37c98779], Trojan.Dropped, D:\Program files\XTremeCD15.02.11\I386\SVCPACK\Akelpad.exe, , [dc24a858c040c7397dab5f0e2dd46898], Trojan.Dropped, D:\Program files\XTremeCD15.02.11\I386\SVCPACK\Clean.exe, , [1ae6768abe42b05072b64e1fad5407f9], Trojan.Dropped, D:\Program files\XTremeCD15.02.11\I386\SVCPACK\MyTheme.exe, , [20e03ec216ead32d8f997df0a8591be5], Trojan.Dropped, D:\Program files\XTremeCD15.02.11\I386\SVCPACK\ResPatch.exe, , [a15f58a8827ef40c2efa4f1e5ea3a35d],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Я не смог найти Full scan в моей версии MBAM. У меня есть только Threat scan, Custom scan, Hyper scan. После Custom scan есть actions только : Quarantine, Add exclusion, Ignore once. Нет варианта с remove
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
2 лога: 1 это экспорт. 2ой это который сгенерился сам(xml формат). Его не получается приаттачить- я его в рар архив поместил. Не знаю какой нужен. Приаттачил оба.
Логи в порядке
Смените все пароли
Без оригинального дешифратора не обойтись
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\progra~3\locals~1\temp\msunquf.bat - Trojan.Win32.Llac.dzxp ( BitDefender: Gen:Variant.Strictor.52562, AVAST4: Win32:Malware-gen )
- c:\users\денис.denis\appdata\local\google\update\g update.exe - Trojan-Downloader.Win32.Carberp.cl ( BitDefender: Trojan.GenericKD.1588322, AVAST4: Win32:Downloader-UXG [Trj] )
- c:\users\денис.denis\appdata\local\jerlobw.dll - Trojan-Proxy.Win32.Bunitu.e ( BitDefender: Gen:Variant.Kazy.351236 )
- c:\users\денис.denis\appdata\local\microsoft\windo ws\winupdate.exe - Trojan-Downloader.Win32.Carberp.cl ( BitDefender: Trojan.GenericKD.1588322, AVAST4: Win32:Downloader-UXG [Trj] )
- c:\users\денис.denis\appdata\local\nvidia corporation\update\daemonupd.exe - Trojan-Downloader.Win32.Carberp.cl ( BitDefender: Trojan.GenericKD.1588322, AVAST4: Win32:Downloader-UXG [Trj] )
- c:\windows\system32\cam2_sv.exe - not-a-virus:Monitor.Win32.Cameras.c ( BitDefender: Trojan.Generic.5579505, NOD32: Win32/Spy.Agent.NUZ trojan, AVAST4: Win32:Malware-gen )
- d:\java.exe - Trojan.Win32.Agent.afunm ( BitDefender: Gen:Heur.MSIL.Krypt.2, AVAST4: MSIL:Injector-FH [Trj] )
Уважаемый(ая) denis.kulemalin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.