Показано с 1 по 19 из 19.

Файлы, заархивированные в cbf [not-a-virus:RiskTool.Win32.SearchProtect.a, Trojan-PSW.Win32.Ruftar.bcee ] (заявка № 177443)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    34

    Файлы, заархивированные в cbf [not-a-virus:RiskTool.Win32.SearchProtect.a, Trojan-PSW.Win32.Ruftar.bcee ]

    Имена стали примерно такого вида: ydgilortwybdhjloqtvyadfhlnpsvxzdgilnqsuwzbdfi.knq. id-{TVWXZAABCDEEFGHIJJKLMNNOPQRSSTUVWWXY-16.02.2015 10@40@542148274}[email protected]

    example.zip - внутри один из зашифрованных документов.
    Лечить компьютер пока не стал.
    Вложения Вложения
    Последний раз редактировалось Дмитрий Мышков; 16.02.2015 в 13:59.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Дмитрий Мышков, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    34
    Если нужно произвести лечение, просьба написать.
    Не стал, мало ли - вдруг будет удален антивирем какой-либо файл, который понадобится при попытке восстановить файлы.

  6. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('D:\Users\007\AppData\Local\Temp\Adobe Flash Player\codec.exe','');
     QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll','');
     QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll','');
     DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll','32');
     DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll','32');
     DeleteFile('D:\Users\007\AppData\Local\Temp\Adobe Flash Player\codec.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    O20 - AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. Это понравилось:


  8. #5
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    34
    Программа " Farbar Recovery Scan Tool" вылетает при начале сканирования. Лог ею создается, но на сколько он полный, не берусь судить.
    разрядность этой app выбирал, исходя из разрядности своей ОС.

    virus.zip отправил, нажав на ссылку "прислать запрошенный карантин", которая находится в заголовке этой темы, как и просили.

    В евентлогах, при падении FRST, такая ошибка:
    "Загрузка \??\C:\Windows\SysWow64\Drivers\uti3ndy3.sys заблокирована из-за несовместимости с данной системой. Обратитесь к поставщику программного обеспечения за совместимой версией драйвера."

    - - - - -Добавлено - - - - -

    2 mike 1
    Без шансов?
    Вложения Вложения
    Последний раз редактировалось Дмитрий Мышков; 16.02.2015 в 17:35.

  9. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Программа " Farbar Recovery Scan Tool" вылетает при начале сканирования. Лог ею создается, но на сколько он полный, не берусь судить.
    Сделайте скриншот ошибки. Утилита не пишет случайно, что "error line"?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  10. Это понравилось:


  11. #7
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    34

    не. она вылетает, не помахав. винда, за нее, рассказывает, что вот так вот все плохо.
    уведомлений потом от винды - евентлог в пред. моем посте:
    "Загрузка \??\C:\Windows\SysWow64\Drivers\uti3ndy3.sys заблокирована из-за несовместимости с данной системой. Обратитесь к поставщику программного обеспечения за совместимой версией драйвера."
    может, нужно прибить предварительно тот sys файл?

  12. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Программу запускаете через контекстное меню проводника от имени Администратора?

    может, нужно прибить предварительно тот sys файл?
    Это драйвер AVZ.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #9
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    34
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Программу запускаете через контекстное меню проводника от имени Администратора?
    Да

    http://www.youtube.com/watch?v=Zdocgv3EE4s&spfreload=10
    Последний раз редактировалось Дмитрий Мышков; 17.02.2015 в 00:32.

  14. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #11
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    34
    Распаковал в отдельный каталог, который был создан на рабочем столе.
    Запустил исполняемый файл от имени администратора.
    Выбрал сканирование за последние три месяца.
    Нажал пуск
    В самом конце сканирования программа вылетела:

  16. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Ну тогда попробуем так.


    Запустите, выберите проверку файлов за последние три месяца и нажмите "Продолжить". Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #13
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    34
    да.

    - - - - -Добавлено - - - - -

    Сделал
    Вложения Вложения
    • Тип файла: txt info.txt (36.4 Кб, 2 просмотров)
    • Тип файла: txt log.txt (27.1 Кб, 4 просмотров)

  18. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Выполните скрипт в AVZ:

    Код:
    Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
    var FS : TFileSearch;
    begin
     ADirName := NormalDir(ADirName);
     FS := TFileSearch.Create(nil);
     FS.FindFirst(ADirName + '*.*');
     while FS.Found do
      begin
        SetStatusBarText(ADirName + FS.FileName);
        if FS.IsDir then
         begin
           if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then
             ScanDir(ADirName + FS.FileName, AScanSubDir)
         end
        else
          AddToLog(ADirName + FS.FileName + '__MD5= ' + CalkFileMD5(ADirName + FS.FileName)+ '__Size= '+ IntToStr(GetFileSize(ADirName + FS.FileName)));
    
        FS.FindNext;
      end;
     FS.Free;
    end;
    
    begin
     ClearLog;
     ScanDir('C:\Program Files (x86)\Adobe Flash Player', true);
     ScanDir('C:\Program Files (x86)\Письмо', true);
     SaveLog(GetAVZDirectory + 'MD5&Size.txt');
    end.
    прикрепите файл MD5&Size.txt из папки с AVZ.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #15
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    34
    Сделал

    - - - - -Добавлено - - - - -

    Прикрепил файл MD5&Size.txt из папки с AVZ.
    Вложения Вложения

  20. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    C:\Program Files (x86)\Adobe Flash Player
    C:\Program Files (x86)\Письмо
    Папки удаляйте. С расшифровкой не поможем. Обязательно смените все пароли.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. #17
    Junior Member (OID) Репутация
    Регистрация
    07.12.2014
    Адрес
    Москва
    Сообщений
    16
    Вес репутации
    34
    Все равно, Спасибо за помощь.
    Не знаете, кто-нибудь вообще может помочь с этим вопросом? Помимо dr. web. те, пока им ключ шифрования не дашь, отказываются.

  22. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Цитата Сообщение от Дмитрий Мышков Посмотреть сообщение
    Все равно, Спасибо за помощь.
    Не знаете, кто-нибудь вообще может помочь с этим вопросом? Помимо dr. web. те, пока им ключ шифрования не дашь, отказываются.
    Посмотрите эту http://virusinfo.info/showthread.php?t=176901 тему.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  23. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\progra~2\searchprotect\searchprotect\bin\vc32lo ader.dll - not-a-virus:RiskTool.Win32.SearchProtect.a ( BitDefender: Application.SearchProtect.AG )
      2. c:\progra~2\searchprotect\searchprotect\bin\vc64lo ader.dll - not-a-virus:RiskTool.Win32.SearchProtect.a ( BitDefender: Application.SearchProtect.AF )
      3. d:\users\007\appdata\local\temp\adobe flash player\codec.exe - Trojan-PSW.Win32.Ruftar.bcee

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Дмитрий Мышков, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 13
      Последнее сообщение: 07.02.2015, 19:18
    2. Ответов: 4
      Последнее сообщение: 23.01.2015, 13:15
    3. Ответов: 9
      Последнее сообщение: 17.07.2014, 22:25
    4. Ответов: 7
      Последнее сообщение: 15.08.2013, 15:36
    5. Ответов: 7
      Последнее сообщение: 22.07.2013, 19:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00656 seconds with 20 queries