Junior Member
Вес репутации
33
Здравствуйте!
Вчера словили на рабочий комп этого зверя. Ситуация аналогичная описанной в http://virusinfo.info/showthread.php?t=183262 ,но по данным там рекомендациям следовать не стал. Так же имеется файл .scr, .zip и письмо. Могу предоставить зашифрованные файлы. Please help.)
Во вложении необходимые логи.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) AlexG_ , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе . Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора ), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt . Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве .
Junior Member
Вес репутации
33
Лог во вложении. Спасибо.
Вложения
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Junior Member
Вес репутации
33
Лог во вложении. Есть вообще вероятность, что файлы удастся расшифровать? Если нет, то я вас зря напрягаю. Проще переустановить систему.
Вложения
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "Driver MD5" и "90 Days Files" . Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Junior Member
Вес репутации
33
Все сделано. Логи во вложении.
Вложения
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [mbot_ru_21] => [X]
HKLM\...\Run: [baidusdTray] => "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe" -stmd=3
HKLM\...\Run: [BaiduAnTray] => "C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe" -stmd=3
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1419585175&from=amt&uid=ST3250318AS_6VM4SYVFXXXX6VM4SYVF&q={searchTerms}
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\S-1-5-21-4167164344-3280812518-1824291811-1000 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\S-1-5-21-4167164344-3280812518-1824291811-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Winsock: Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll File not found
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
OPR Extension: (SavePass 1.1) - C:\Users\TrueLove\AppData\Roaming\Opera Software\Opera Stable\Extensions\ilhhefepljbmehhbmjcflhcchkddfaon [2014-12-26]
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe http://www.delta-homes.com/?type=sc&ts=1427367720&from=wpm032632&uid=ST3250318AS_6VM4SYVFXXXX6VM4SYVF
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
2015-06-05 11:01 - 2015-06-05 13:04 - 00000081 _____ C:\Program Files\AEMGBBJLVZ.FGJ
2015-06-05 11:00 - 2015-06-05 11:00 - 00000000 ____D C:\Program Files\Информационные технологии РФ
AlternateDataStreams: C:\ProgramData\TEMP:63238B95
AlternateDataStreams: C:\Users\Все пользователи\TEMP:63238B95
C:\Users\TrueLove\AppData\Roaming\netprotocol.exe
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Netprotocol]
FirewallRules: [{793900A2-BCBA-4AFD-BCD2-EB95EB6FBF5C}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe
FirewallRules: [{EA6FFCD0-FD61-42BB-B794-FBE6142E1D03}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe
FirewallRules: [{24692697-2D8B-4CAD-97BC-6A5A141A8A17}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{BCEA67DC-EED0-4475-970A-E18F14FB9D82}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{F863A2E7-43E8-453A-8416-CD44BC10AA40}] => (Allow) C:\Program Files\Supdater\Supdater.exe
FirewallRules: [{106B90F6-127D-4F7C-8467-CA563B52FBB8}] => (Allow) C:\Windows\TEMP\Tor__10932_i1431862758_il401954.exe
FirewallRules: [{ABDB0A80-9348-4C09-A48E-EE39BEBA6850}] => (Allow) C:\Windows\TEMP\Tor__10932_i1431862758_il401954.exe
FirewallRules: [{6A3E2024-9998-43BB-81E6-BAAE4139D7C9}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
FirewallRules: [{28C434FA-C38F-4599-9B1D-8102F0E917A0}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
FirewallRules: [{F9876188-FC05-49D6-8105-8440B21A3524}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
FirewallRules: [{19C56FAA-F6DF-4AEE-9232-8F7C5CA15605}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
FirewallRules: [{828B06EA-DE37-4563-A5EE-85A5295CFEEA}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSd.exe
FirewallRules: [{E1A9BE50-8D14-468E-B14B-1434E81CB109}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSd.exe
FirewallRules: [{2FD2997D-2FF5-4EEA-932E-4B2352DCEBCE}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSd.exe
FirewallRules: [{271D26D8-9CB9-470D-813E-31F6A89732D6}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSd.exe
FirewallRules: [{4ED2DC92-AA21-4FA5-BA2A-0F6EF481B801}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe
FirewallRules: [{2971C5F3-33D8-4057-B2CB-CF9CBCBEAABB}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe
FirewallRules: [{7A3BE17F-D2B7-4F99-918D-AE5FC82587CE}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe
FirewallRules: [{8A2BAFD6-3F78-4B7F-AB2D-F88E413F959F}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe
FirewallRules: [{21C9AAF5-A4E4-43BC-B3A3-A68854FE1A41}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdUpdate.exe
FirewallRules: [{E250CA03-446C-46A3-9D22-566246B1187A}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdUpdate.exe
FirewallRules: [{C142B2C8-B77E-43F4-B211-770AC96474B6}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdUpdate.exe
FirewallRules: [{96E41EA2-1B97-4365-9812-0BC119F55D81}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdUpdate.exe
FirewallRules: [{04EC6C58-4A08-4210-806A-58EC598A14BE}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdBugRpt.exe
FirewallRules: [{12FECEF2-F946-4ED7-A843-81D260DD56F3}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdBugRpt.exe
FirewallRules: [{82B1B163-4BD9-4810-93DD-922BAB4FB798}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdBugRpt.exe
FirewallRules: [{646C93D6-9639-4DEC-AC1E-5C28FDBB97E6}] => (Allow) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdBugRpt.exe
FirewallRules: [{8E872989-03AD-4248-B0E6-332A8D6057E1}] => (Allow) C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{E1C9896F-40FD-4E9C-B32E-78A218CEDD77}] => (Allow) C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{C21A9CE1-616C-4DA2-94F3-2E1EE37F01C4}] => (Allow) C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{9A90BF88-B082-45BA-8A25-E5C15B6D2CA9}] => (Allow) C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{02285A97-EE1A-4EF8-8A47-8848D8094402}] => (Allow) C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{6CCD5901-63F5-4042-A355-C9ACFF389E64}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe
FirewallRules: [{CE7EC97A-818B-4FB7-A13E-0D5D23358812}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe
FirewallRules: [{F448B736-BC5B-4E2E-853D-4CB0F1D9F234}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe
FirewallRules: [{BF3B02B4-9D87-4CD9-826C-D15E4A98AC09}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe
FirewallRules: [{37628577-04D3-46D5-A75E-7DF2F98D2F65}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAn.exe
FirewallRules: [{B4B5B830-BD39-4A3E-BA3E-FA3567B3E613}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAn.exe
FirewallRules: [{FC3A2866-955A-4F11-A4CA-F9BFCE88BD65}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAn.exe
FirewallRules: [{403E360A-BFBE-4D2B-B3AB-05E6899BFA4B}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAn.exe
FirewallRules: [{40A8B8E3-1DB4-4580-BCEB-A6AC4E94A466}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe
FirewallRules: [{F9C6649E-2430-4EBF-9454-B66BA152127E}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe
FirewallRules: [{EDE1C1A0-551A-4C77-94F7-9FDFFC973110}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe
FirewallRules: [{A6905A44-1D57-46F1-BB71-11A8A581C1DC}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe
FirewallRules: [{79DC0AC4-C6F2-4736-91A4-DA1D16D62805}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnUpdate.exe
FirewallRules: [{A71FDD86-5C1F-432B-A055-B65EE88063DF}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnUpdate.exe
FirewallRules: [{E9EEF38C-471C-4F1F-8CDD-6FAAF1737E87}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnUpdate.exe
FirewallRules: [{462A34C5-B48D-484C-A70D-BFCBAE4AAC62}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnUpdate.exe
FirewallRules: [{1F038710-432A-497C-8328-241281BF3123}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnBugRpt.exe
FirewallRules: [{F72D1582-47C9-4643-9993-AB09CA25CAC0}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnBugRpt.exe
FirewallRules: [{86AEC932-358C-4578-8FF3-4C1562983980}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnBugRpt.exe
FirewallRules: [{F3F3F8D2-32BB-47F5-A015-6DB963B419C0}] => (Allow) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnBugRpt.exe
CMD: netsh winsock reset
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Junior Member
Вес репутации
33
Вложения