Вирус filecoder. Мультимедиа и офисные файлы - теперь с расширением xtbl. Помогите, что делать?? Eset проверила, угрозы обнаружены, правда вылечить как не знаю (Eset Smart Security 8 ). Сделала сканы утилитами. Логи утилит прилагаю.
Вирус filecoder. Мультимедиа и офисные файлы - теперь с расширением xtbl. Помогите, что делать?? Eset проверила, угрозы обнаружены, правда вылечить как не знаю (Eset Smart Security 8 ). Сделала сканы утилитами. Логи утилит прилагаю.
Уважаемый(ая) valcyrye, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:procedure DeleteDirectoryF(N: String); begin DeleteFileMask(N, '*', true); DeleteDirectory(N); end; begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Users\user\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe',''); QuarantineFile('C:\Users\user\AppData\Roaming\Steam\Reversed\steam.exe',''); QuarantineFile('C:\Users\user\AppData\Local\Temp\F22B.tmp',''); QuarantineFile('C:\Users\user\AppData\Local\Temp\21B4.tmp',''); DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command'); DeleteFile('C:\Users\user\AppData\Local\Temp\21B4.tmp','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkUpdater'); DeleteFile('C:\Users\user\AppData\Local\Temp\F22B.tmp','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportSaver'); DeleteFile('C:\Users\user\AppData\Roaming\Steam\Reversed\steam.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64'); DeleteFile('C:\Users\user\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','32'); DeleteDirectoryF('C:\Users\user\AppData\Roaming\Steam\Reversed'); DeleteDirectoryF('C:\Users\user\appdata\roaming\funspace'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Обновите базы AVZКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=hp&from=smt&uid=MAXTORXSTM3500320AS_9QM2YWZLXXXX9QM2YWZL&ts=1381345776 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7adb58d0b0605faa532d9b33f4d0673e&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7adb58d0b0605faa532d9b33f4d0673e&text={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=hp&from=smt&uid=MAXTORXSTM3500320AS_9QM2YWZLXXXX9QM2YWZL&ts=1381345776 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7adb58d0b0605faa532d9b33f4d0673e&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7adb58d0b0605faa532d9b33f4d0673e&text= O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7adb58d0b0605faa532d9b33f4d0673e&text= O20 - AppInit_DLLs:
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде все выполнила
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано.
Поместите в карантин МВАМ только
Код:Registry Keys: 11 PUP.Optional.Delta.A, HKLM\SOFTWARE\CLASSES\APPID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}, , [888a94865a30171fff2a58e7b64df20e], PUP.Optional.Delta.A, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}, , [888a94865a30171fff2a58e7b64df20e], PUP.Optional.Babylon.A, HKU\S-1-5-21-2835106462-2213368028-3569604927-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}, , [fc16e535d0ba96a05866f90c3bc8b749], PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}, , [080a4ad0c8c2c373c971e7112ed613ed], PUP.Optional.DoSearches.A, HKLM\SOFTWARE\WOW6432NODE\dosearchesSoftware, , [51c125f555350b2bd3a0ec04ae56fa06], Backdoor.Bifrose, HKLM\SOFTWARE\WOW6432NODE\System32, , [759d22f8404ad0664a7b4029fd0724dc], PUP.Optional.Elex.A, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\ifohbjbgfchkkfhphahclmkpgejiplfo, , [080a0317a9e171c53e38e10f758fc838], PUP.Optional.Qone8, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}, , [a46e9a8079110a2cbc7e53a5a65e5aa6], PUP.Optional.MultiPlug, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{4820778D-AB0D-6D18-C316-52A6A0E1D507}, , [32e0b06abdcda98dd850eabc6b983bc5], PUP.Optional.Softonic.A, HKU\S-1-5-21-2835106462-2213368028-3569604927-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Softonic, , [8191100a2664092d3c848214778c36ca], PUP.Optional.Qone8, HKU\S-1-5-21-2835106462-2213368028-3569604927-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{33BB0A4E-99AF-4226-BDF6-49120163DE86}, , [39d927f349416fc7b0895f99669e3ec2], Registry Data: 1 PUP.Optional.DoSearches, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Page_URL, http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=hp&from=smt&uid=MAXTORXSTM3500320AS_9QM2YWZLXXXX9QM2YWZL&ts=1381345776, Good: (www.google.com), Bad: (http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=hp&from=smt&uid=MAXTORXSTM3500320AS_9QM2YWZLXXXX9QM2YWZL&ts=1381345776),,[bb5733e729611e18c67ae6cc33d20cf4] Folders: 6 PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt, , [908246d4cac062d421fda62f47bc50b0], PUP.Optional.OpenCandy, C:\Users\user\AppData\Roaming\OpenCandy, , [28ea95856f1b8fa73e078ac96d965fa1], PUP.Optional.OpenCandy, C:\Users\user\AppData\Roaming\OpenCandy\F8E219B990BE4B84ADC67C7C7BCC1E5C, , [28ea95856f1b8fa73e078ac96d965fa1], PUP.Optional.Multiplug, C:\Program Files (x86)\YoutubeAdblocker, , [d14165b5a8e2fc3a1f2a9bbaa3602bd5], PUP.Optional.YoutubeAdblocker.A, C:\ProgramData\YoutubeAdblocker, , [120020fa1e6c67cf1527401758ab33cd], PUP.Optional.Booster.A, C:\ProgramData\GreenApp\SW_Booster, , [6fa3b2683d4def474550eb8ad92aa65a], Files: 74 PUP.Optional.Installrex, D:\rab\logo-steampunk\Cadabra-Debilex Font Font.exe, , [e32f8991305aa98d01ca266ee12051af], Password.Stealer, E:\System Volume Information\_restore{A8D74F38-52C9-41D2-9D01-B5D7AE727330}\RP54\A0018814.rbf, , [32e08f8b03875dd90e1af87639c9b34d], PUP.Optional.Spigot, E:\torrents666\YouTube Video Downloader PRO 4.8.5 (20140910)\SetupYTD.exe, , [63af2bef0c7edb5b3bf2378b14ed7e82], PUP.Optional.ContinueToSave.A, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_continuetosave.info_0.localstorage, , [977b74a626648ea846d0139a62a147b9], PUP.Optional.ContinueToSave.A, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_continuetosave.info_0.localstorage-journal, , [0e045ebc09810d290016446910f37987], PUP.Optional.NewTab.A, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx, , [f0224ccec2c8340241537360be45817f], PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\manifest.json, , [908246d4cac062d421fda62f47bc50b0], PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\128.png, , [908246d4cac062d421fda62f47bc50b0], PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\16.png, , [908246d4cac062d421fda62f47bc50b0], PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\48.png, , [908246d4cac062d421fda62f47bc50b0], PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\content.js, , [908246d4cac062d421fda62f47bc50b0], PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\cSzbNIDaVcbL.js, , [908246d4cac062d421fda62f47bc50b0], PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\dDMZfTDdJunzE.js, , [908246d4cac062d421fda62f47bc50b0], PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\JKlVrsLcyv.js, , [908246d4cac062d421fda62f47bc50b0], PUP.Optional.BetterSmile.A, C:\Users\user\AppData\Roaming\smwdgt\LJYkkLpsArJFv.html, , [908246d4cac062d421fda62f47bc50b0], PUP.Optional.DoSearches.A, C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\dosearches.xml, , [82901efc890159dd7bf7c42c4bb929d7], PUP.Optional.OpenCandy, C:\Users\user\AppData\Roaming\OpenCandy\F8E219B990BE4B84ADC67C7C7BCC1E5C\hamsterfreeziparchiver.exe, , [28ea95856f1b8fa73e078ac96d965fa1], PUP.Optional.Multiplug, C:\Program Files (x86)\YoutubeAdblocker\NnH.dat, , [d14165b5a8e2fc3a1f2a9bbaa3602bd5], PUP.Optional.Multiplug, C:\Program Files (x86)\YoutubeAdblocker\NnH.tlb, , [d14165b5a8e2fc3a1f2a9bbaa3602bd5], PUP.Optional.YoutubeAdblocker.A, C:\ProgramData\YoutubeAdblocker\95D1sXxplT2IeKf-nTQ-sQ==.xtbl, , [120020fa1e6c67cf1527401758ab33cd],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Я извиняюсь, но я все найденные им файлы отправила в карантин (ламер, что поделаешь), а восстановить с карантина не могу - все файлы он пометил на удаление после перезагрузки. Что делать?? Помогите!!
Ну тут уже из карантина не восстановить
С расшифровкой не поможем
http://virusinfo.info/announcement.php?f=46&a=52
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 268
- В ходе лечения обнаружены вредоносные программы:
- c:\users\user\appdata\roaming\funspace\shadow\funs pace.update\funspace.update.process.exe - not-a-virus:HEUR:Downloader.Win32.LMN.gen
- c:\users\user\appdata\roaming\zona\plugins\zupdate r\zonaupdater.exe.bak - not-a-virus:Downloader.Win32.AdLoad.onrc
Уважаемый(ая) valcyrye, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.