Поймал вируса шифровальщика, расширение .cbf.

[deymon81]

Здравствуйте! Поймал вирус шифровальщика вида [email protected]-CL 0.0.1.0.id-YEJOUZEJOSXCINSXCGLQVAFKPUYDJOTYDIMR-11.06.2015 22@[email protected]
Сможете помочь?

Windows 7 профессиональная (64-разрядная)

[Info_bot]

Уважаемый(ая) deymon81, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

1. Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите Check Browsers LNK.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
5. Прикрепите этот отчет в вашей теме.

[deymon81]

Прикрепляю

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

[deymon81]

Прикрепляю

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[deymon81]

Прикрепляю

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\Run: [pr] => G:\Program Files (x86)\flashplayer.exe
  HKU\S-1-5-21-3959525679-1433904725-88869067-500\...\Run: [fnxqfqtskm] => explorer "http://koroduk.ru/?utm_source=uoua03&utm_content=95d34b53a5d36b97f628addef84158ec"
  BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> D:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\TSWebMon64.dat [2015-02-28] (Tencent)
  BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
  BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
  FF SelectedSearchEngine: delta-homes
  FF Plugin: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll No File
  FF Plugin: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File
  FF Plugin-x32: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll No File
  FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File
  FF Plugin-x32: @qq.com/QQPCMgr -> D:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\npQMExtensionsMozilla.dll [2015-02-28] (Tencent Technology (Shenzhen) Company Limited)
  FF SearchPlugin: G:\Program Files (x86)\mozilla firefox\browser\searchplugins\.xml [2015-03-23]
  FF Extension: Searcher's Family - G:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\p96e4hza.default\Extensions\06a943c59f33a34bb5924aaf72cd2995@06a943c59f33a34bb5924aaf72cd2995.com [2015-02-28]
  U2 QQPCRTP; D:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\QQPCRtp.exe [297608 2015-02-28] (Tencent)
  R2 lytuxicu; G:\Users\Администратор\AppData\Roaming\00000000-1425133952-0000-0000-0021853FD5AC\nsf7DD0.tmpfs [X]
  R1 TSDefenseBt; D:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\TsDefenseBT64.sys [28472 2015-02-28] (Tencent)
  2015-06-17 12:40 - 2015-06-17 12:40 - 00000000 ____D G:\Users\Администратор\AppData\Roaming\Tencent
  2015-06-12 21:36 - 2015-06-12 21:36 - 00156286 _____ G:\Program Files (x86)\desk1.bmp
  2015-06-12 21:36 - 2015-06-12 21:36 - 00000170 _____ G:\Program Files (x86)\ZFKQW.bat
  2015-06-11 22:45 - 2015-06-11 22:45 - 00000000 ____D G:\Program Files (x86)\Информационные технологии РФ
  2015-05-13 12:28 - 2015-05-13 12:28 - 00000000 ____D G:\Users\Администратор\AppData\Local\Вoйти в Интeрнет
  2015-05-13 12:25 - 2015-05-13 12:25 - 00000000 ____D G:\Users\Администратор\AppData\Local\Поиcк в Интeрнете
  2015-06-16 14:52 - 2015-02-28 14:32 - 00000000 ____D G:\Users\Администратор\AppData\Roaming\00000000-1425133952-0000-0000-0021853FD5AC
  2015-06-15 14:15 - 2015-02-28 14:31 - 00000000 ____D G:\Users\Администратор\AppData\Roaming\Browsers
  2015-06-12 21:36 - 2015-06-12 21:36 - 0156286 _____ () G:\Program Files (x86)\desk1.bmp
  2015-06-12 21:36 - 2015-06-12 21:36 - 0000170 _____ () G:\Program Files (x86)\ZFKQW.bat
  G:\Users\Администратор\AppData\Local\Temp\install_cb1.exe
  G:\Users\Администратор\AppData\Local\Temp\masauto_runxx.dl.dll
  G:\Users\Администратор\AppData\Local\Temp\masblog_runxx.dl.dll
  G:\Users\Администратор\AppData\Local\Temp\masflag_runxx.dl.dll
  G:\Users\Администратор\AppData\Local\Temp\nsx1772.tmp.exe
  G:\Users\Администратор\AppData\Local\Temp\ppstreamsetup_unfix.exe
  G:\Users\Администратор\AppData\Local\Temp\qtqT15g1rwA2.exe
  G:\Users\Администратор\AppData\Local\Temp\Quarantine.exe
  G:\Users\Администратор\AppData\Local\Temp\QYAgent_runxx.dl.dll
  G:\Users\Администратор\AppData\Local\Temp\sender.exe
  G:\Users\Администратор\AppData\Local\Temp\Setup-bm.exe
  G:\Users\Администратор\AppData\Local\Temp\Setup-yabrowser.exe
  G:\Users\Администратор\AppData\Local\Temp\SkypeSetup.exe
  G:\Users\Администратор\AppData\Local\Temp\sqlite3.dll
  G:\Users\Администратор\AppData\Local\Temp\Uninstall.exe
  G:\Users\Администратор\AppData\Local\Temp\xmlUpdater.exe
  G:\Users\Администратор\AppData\Local\Temp\yjifLM1QI672.exe
  G:\Users\Администратор\AppData\Local\Temp\yupdate-exec-bm.exe
  G:\Users\Администратор\AppData\Local\Temp\yupdate-exec-yabrowser.exe
  G:\Users\Димон\AppData\Local\Temp\sender.exe
  AV: 电脑管家系统防护 (Disabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5}
  AS: 电脑管家系统防护 (Disabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48}
  Task: {83994033-8AD3-48BA-8CD3-E802E541F96E} - System32\Tasks\MobProtect => C:\IQIYI Video\LStyle\MobProtect.exe
  Task: G:\Windows\Tasks\MobProtect.job => C:\IQIYI Video\LStyle\MobProtect.exe
  FirewallRules: [{2F63CB11-1771-43C6-80A8-A50BACFEA656}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
  FirewallRules: [{DDB5D348-2C89-4B4B-91F3-5F0B2CD4CFBD}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
  FirewallRules: [{71DC512C-1B84-4DDD-B269-94471032CE55}] => (Allow) G:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
  FirewallRules: [{7D76C052-251F-40D0-89D0-8C030AB70FB5}] => (Allow) G:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
  FirewallRules: [{82E76BF9-35D5-4200-A726-AC9BB2385F9F}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
  FirewallRules: [{5D366AF8-4D61-4464-A3E9-EDC16557A7A9}] => (Allow) C:\IQIYI Video\LStyle\GeePlayer.exe
  FirewallRules: [{B0A1045A-7F2F-4580-8001-F879782A1A59}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
  FirewallRules: [TCP Query User{D242F9C1-8092-455D-9E9A-878D2F92A93C}C:\iqiyi video\lstyle\qyclient.exe] => (Block) C:\iqiyi video\lstyle\qyclient.exe
  FirewallRules: [UDP Query User{69E47AB9-4594-4462-B269-3092AECB739D}C:\iqiyi video\lstyle\qyclient.exe] => (Block) C:\iqiyi video\lstyle\qyclient.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[deymon81]

Прикрепляю

[mike 1]

Еще раз сделайте логи FRST.txt и Addition.txt

[deymon81]

Есть

[mike 1]

Уведомление

Скрипт нужно выполнять в безопасном режиме.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [ QQPCTray] => D:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\QQPCTRAY.EXE [355296 2015-02-28] (Tencent)
  R2 QQPCRTP; D:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\QQPCRtp.exe [297608 2015-02-28] (Tencent)
  R2 QQSysMonX64; D:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\QQSysMonX64.sys [127800 2015-02-28] (电脑管家)
  R1 TFsFlt; G:\Windows\System32\Drivers\TFsFltX64.sys [87864 2015-02-28] (电脑管家)
  R4 TSCPM; D:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\tscpm64.sys [42296 2015-02-28] (电脑管家)
  R1 TSDefenseBt; D:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\TSDefenseBT64.sys [28472 2015-02-28] (Tencent)
  R4 TSSysKit; D:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\TSSysKit64.sys [87352 2015-02-28] (电脑管家)
  2015-06-17 16:13 - 2015-06-17 16:13 - 00000000 ____D G:\Users\Администратор\AppData\Roaming\Tencent
  2015-06-17 16:07 - 2015-06-17 16:07 - 00000000 ___DC G:\Program Files\Common Files\Tencent
  AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5}
  AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48}
  D:\Program Files (x86)\Tencent

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[deymon81]

Прикрепляю