Зашифрованы документы и картинки [email protected] (заявка № 179775)

[Margarettt]

Запрошенный карантин отослала.
Вот остальное.

[Info_bot]

Уважаемый(ая) Margarettt, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\Test.bat','');
 QuarantineFile('C:\windows\system32\drivers\qknfd.sys','');
 DeleteService('qknfd');
 DeleteFile('C:\windows\system32\drivers\qknfd.sys','32');
 DeleteFile('C:\Users\home\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\home\AppData\Local\Amigo\Application\ok.exe','32');
 DeleteFile('C:\Users\home\AppData\Local\Amigo\Application\vk.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи по правилам

Сделайте логи RSIT

[Margarettt]

Вот еще документы. Только проблема возникла, не могу сделать запрошенный карантин, все пусто(( Не могли бы Вы с этим немного помочь. Спасибо!!!!

[thyrex]

C:\Program Files (x86)\xexe
C:\Program Files (x86)\Informacionnye Texnologii

заархивируйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Margarettt]

Вот документики. А при посылке карантина, написали вот такую вещь: "Результат загрузки

Ошибка загрузки. Данный файл уже был загружен

"

[thyrex]

Еще раз создание новую тему для новых логов - забаню, как спамера.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
  BHO: Quiknowledge -> {323C6E6D-1621-470F-8A52-4FDEC4E75E40} ->  No File
  BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\x64\IEExt\OnlineBanking\online_banking_bho.dll No File
  BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
  BHO-x32: No Name -> {323C6E6D-1621-470F-8A52-4FDEC4E75E40} ->  No File
  BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
  FF Extension: Network Security v14.2.4 - C:\Users\home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\[email protected] [2014-02-04]
  FF Extension: Screeny - C:\Users\home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\{17238372-3743-33ab-8a9f-93722af74c79}.xpi [2014-05-13]
  FF Extension: Desktopy - C:\Users\home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97}.xpi [2013-10-17]
  FF Extension: SuperMegaBest.com - C:\Users\home\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-01-20]
  FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\BetterSurf\ff
  FF Extension: BetterSurf - C:\Program Files (x86)\BetterSurf\ff [2013-11-15]
  FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Better-Surf\ff
  FF Extension: Better-Surf - C:\Program Files (x86)\Better-Surf\ff [2013-11-26]
  FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha802\ff
  FF Extension: Webexp Enhanced - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha802\ff [2013-12-21]
  FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha272\ff
  FF Extension: Media Player - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha272\ff [2014-01-30]
  FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Mozilla Firefox\extensions\[email protected]
  FF Extension: No Name - C:\Program Files (x86)\360\Total Security\safemon\webprotection_firefox [Not Found]
  CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
  CHR HKLM-x32\...\Chrome\Extension: [dedmngkbaffkenlfdcbganndoghblmap] - C:\Program Files (x86)\BetterSurf\ch\Chrome.crx [Not Found]
  CHR HKLM-x32\...\Chrome\Extension: [gabcfahfpdogbabahncboccicghohdpm] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha802\ch\WebexpEnhancedV1alpha802.crx [Not Found]
  CHR HKLM-x32\...\Chrome\Extension: [poheodfamflhhhdcmjfeggbgigeefaco] - C:\Program Files (x86)\Better-Surf\ch\Chrome.crx [Not Found]
  S1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [X]
  2015-03-17 23:04 - 2015-03-17 23:04 - 00000000 ____D () C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
  2015-03-17 23:04 - 2015-03-17 23:04 - 00000000 ____D () C:\Users\home\AppData\Roaming\ASPackage
  2015-03-17 23:03 - 2015-03-18 09:12 - 00000000 ____D () C:\Program Files (x86)\Zaxar
  2015-03-17 23:03 - 2015-03-17 23:03 - 00000000 ____D () C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
  2015-03-17 23:03 - 2015-03-17 23:03 - 00000000 ____D () C:\Users\home\AppData\Roaming\Homepager
  2015-03-13 09:18 - 2015-03-13 16:26 - 00000000 ____D () C:\Program Files (x86)\xexe
  2015-03-13 09:17 - 2015-03-13 09:17 - 00000000 ____D () C:\Program Files (x86)\Informacionnye Texnologii
  2015-03-17 23:03 - 2012-07-31 17:59 - 00001871 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk
  2015-03-17 23:03 - 2012-07-31 17:53 - 00002050 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mоzillа Firеfох.lnk
  2015-03-17 23:03 - 2012-07-31 17:41 - 00002337 _____ () C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
  2015-03-16 23:26 - 2014-02-04 10:28 - 00000000 ____D () C:\Users\home\AppData\Local\Screeny
  2015-03-15 18:35 - 2014-01-30 10:03 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
  2015-03-15 18:35 - 2014-01-30 10:03 - 00000258 __RSH () C:\ProgramData\ntuser.pol
  C:\Users\home\AppData\Local\Temp\2C7C10792ABB3A62.exe
  C:\Users\home\AppData\Local\Temp\32C96D49-A54D-4762-BA7E-22B33F7FB8F7.exe
  C:\Users\home\AppData\Local\Temp\84DF0E93B07F98E4.exe
  C:\Users\home\AppData\Local\Temp\983EE8F5-15B6-4821-962D-43EE751E901E.exe
  C:\Users\home\AppData\Local\Temp\A010B6F83E73F6DD.exe
  C:\Users\home\AppData\Local\Temp\AA7E4A567D844FB3.exe
  C:\Users\home\AppData\Local\Temp\amigo_setup.exe
  C:\Users\home\AppData\Local\Temp\GuardMailRu.exe
  C:\Users\home\AppData\Local\Temp\MailRuUpdater.exe
  C:\Users\home\AppData\Local\Temp\Runner.exe
  C:\Users\home\AppData\Local\Temp\sender.exe
  C:\Users\home\AppData\Local\Temp\Uninstall.exe
  C:\Users\home\AppData\Local\Temp\UninstallEADM.dll
  C:\Users\home\AppData\Local\Temp\vcredist_x86.exe
  C:\Users\home\AppData\Local\Temp\ZaxarSetup.4.001.33.exe
  C:\Users\home\AppData\Local\Temp\{1AB59872-53BF-4777-BDF3-6EC926882274}.exe
  Task: {6CE6F109-D03C-49D0-961F-E319472CD027} - \BackgroundContainer Startup Task No Task File <==== ATTENTION
  Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Margarettt]

Fixlog.txt

- - - - -Добавлено - - - - -

Люююююдиииии

[thyrex]

С расшифровкой не поможем

[Margarettt]

Доброго дня всем! Подскажите, пожалуйста, нашлось лекарство от этого вируса, спустя 4 года?
Все зараженные файлы храню по сей день.

[thyrex]

Ничего нового. Думаю, что даже у распространителей ничего от таких древних версий не осталось.

[mike 1]

Доброго дня всем! Подскажите, пожалуйста, нашлось лекарство от этого вируса, спустя 4 года?
Все зараженные файлы храню по сей день.

Попробуйте написать на [email protected] , может так помогут, т.к. данная версия уже устарела.