Junior Member
Вес репутации
35
AES 256 [Trojan.Win32.Agentb.bgwd
]
Здравствуйте! Помогите пожалуйста!!!
Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.
Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
TOR: https://www.torproject.org/ | Видео инструкция: http://youtu.be/43feBLwHzn0
url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
HashKey: e5d216efa438ddc5012b3ba990acf9b8
ID: 23592
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) алексей3333333 , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Вложения
360 total security сами устанавливали?
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Алёша\appdata\local\microsoft\windows\system.exe','');
QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll','');
QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll','');
DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll','32');
DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll','32');
DeleteFile('C:\Users\Алёша\appdata\local\microsoft\windows\system.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('BDSGRTP');
BC_DeleteSvc('gupdate');
BC_DeleteSvc('gupdatem');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BaiduProtect.exe');
BC_DeleteSvc('bd0001');
BC_DeleteSvc('bd0004');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('BDMWrench');
BC_DeleteSvc('BDSafeBrowser');
BC_DeleteSvc('bd0002');
BC_DeleteSvc('BDMWrench_x64');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
следующие
- - - - -Добавлено - - - - -
да сам устанавливал сегодня!!!
Вложения
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.baisvik.com?sourceid=ie&type=home&partner=02416
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dd974b29a4da907c0bead26195142762&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=02416
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dd974b29a4da907c0bead26195142762&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.baisvik.com?sourceid=ie&type=home&partner=02416
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=02416
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.baisvik.com?sourceid=ie&type=home&partner=02416
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Skymonk BHO - {A923CA26-988F-4FE5-B1F5-B3DD3F3D6F4A} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: Skymonk - {49D931C3-97C7-46BF-850F-83CC98E81623} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
Удалите папки
C:\Program Files (x86)\SearchProtect
C:\Users\Алёша\AppData\Roaming\Mail.RU NewGamesT
C:\Users\Алёша\AppData\Roaming\Microsoft DB
C:\Users\Алёша\AppData\Roaming\ICL
C:\Users\Алёша\AppData\Roaming\ap_logs
Удалите файлы
C:\iexplore.bat
C:\Program Files (x86)\AsusVibeLauncher.bat
C:\WOTLauncher.bat
Пересоздайте ярлыки
C:\Users\Алёша\AppData\Roaming\Microsoft\Windows\S tart Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Алёша\Desktop\Yandex.lnk
C:\Users\Алёша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Вложения
Огрызок, а не лог. Переделывайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Вложения
Junior Member
Вес репутации
35
Сообщение от
алексей3333333
что дальше???
Терпение и еще раз терпение
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код:
KillAll::
File::
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\bd64_x86.dll
c:\windows\system32\bd64_x64.dll
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
C:\iexplore.bat
C:\WOTLauncher.bat
c:\program files (x86)\AsusVibeLauncher.bat
Driver::
bd0002
BDMWrench_x64
BDSGRTP
bd0001
bd0004
BDMWrench
BDArKit
BDSafeBrowser
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
спасибо всё получилось!!!
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения обнаружены вредоносные программы:
c:\users\алёша\appdata\local\microsoft\windows\sys tem.exe - Trojan.Win32.Agentb.bgwd ( BitDefender: Trojan.Generic.11943768, AVAST4: Win32:Malware-gen )