Показано с 1 по 15 из 15.

помогите, зашифрованы файлы, требует отправить письмо на емайл d_marde@aol.com [not-a-virus:AdWare.Win32.DealPly.bt, not-a-virus:AdWare.Win32.DealPly.clt ] (заявка № 186259)

  1. #1
    Junior Member Репутация
    Регистрация
    22.04.2008
    Сообщений
    9
    Вес репутации
    36

    помогите, зашифрованы файлы, требует отправить письмо на емайл d_marde@aol.com [not-a-virus:AdWare.Win32.DealPly.bt, not-a-virus:AdWare.Win32.DealPly.clt ]

    проблема аналогичная уже имеющейся на форуме

    прилагаю логи работы farbar

    надеюсь на помощь...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    343
    Уважаемый(ая) Klingzor, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    22.04.2008
    Сообщений
    9
    Вес репутации
    36
    добавляю логи AVZ и HJT
    Вложения Вложения

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,674
    Вес репутации
    3027
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\дуся\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
     QuarantineFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe','');
     QuarantineFile('C:\Users\дуся\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe','');
     QuarantineFile('C:\Users\F42F~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
     QuarantineFile('C:\Program Files\DealPly\DealPlyUpdate.exe','');
     QuarantineFile('C:\Users\F42F~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
     QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','');
     TerminateProcessByName('c:\program files\mobogenie\daemonprocess.exe');
     TerminateProcessByName('c:\users\f42f~1\appdata\roaming\digita~1\update~1\update~1.exe');
     DeleteFile('c:\users\f42f~1\appdata\roaming\digita~1\update~1\update~1.exe','32');
     DeleteFile('c:\program files\mobogenie\daemonprocess.exe','32');
     DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','32');
     DeleteFile('C:\Program Files\Tuneup Pro\systweakasp.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\ASP','32');
     DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
     DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','32');
     DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
     DeleteFile('C:\Users\F42F~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
     DeleteFile('C:\Program Files\DealPly\DealPlyUpdate.exe','32');
     DeleteFile('C:\Users\F42F~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
     DeleteFile('C:\Users\дуся\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\Funmoods','32');
     DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','32');
     DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','32');
     DeleteFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','32');
     DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
     DeleteFile('C:\Users\дуся\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

    Сделайте новые логи по правилам
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    22.04.2008
    Сообщений
    9
    Вес репутации
    36
    скрипт выполнил
    карантин отправил

    высылаю новые логи
    Вложения Вложения

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,674
    Вес репутации
    3027
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    22.04.2008
    Сообщений
    9
    Вес репутации
    36
    добавляю лог MBAM
    Вложения Вложения

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,674
    Вес репутации
    3027
    Удалите в МВАМ все, кроме
    Код:
    Hacktool.Agent, C:\Users\дуся\Downloads\Windows Loader 2.2.2 by Daz\Windows Loader.exe, , [7efcefd1fc8ee84e4568285a6e93619f],
    Сделайте новые логи Farbar
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    22.04.2008
    Сообщений
    9
    Вес репутации
    36
    сейчас недопонял как и что сделать... можете пояснить?

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,674
    Вес репутации
    3027
    МВАМ или Farbar?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    22.04.2008
    Сообщений
    9
    Вес репутации
    36
    сорри, по MBAM разобрался

    сейчас FarBar заново сканирует


    прилагаю логи FarBar
    Вложения Вложения
    Последний раз редактировалось Klingzor; 01.07.2015 в 05:47.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,674
    Вес репутации
    3027
    Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
    Код:
    CreateRestorePoint:
    IFEO\skype.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe"
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-2572818867-1531963830-609405450-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
    HKU\S-1-5-21-2572818867-1531963830-609405450-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ru-ru/?pc=UP97&ocid=UP97DHP
    HKU\S-1-5-21-2572818867-1531963830-609405450-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
    HKU\S-1-5-21-2572818867-1531963830-609405450-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
    SearchScopes: HKU\S-1-5-21-2572818867-1531963830-609405450-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
    BHO: TinyBHO Class -> {00e71626-0bef-11dc-8314-0800200c9a66} ->  No File
    Toolbar: HKU\S-1-5-21-2572818867-1531963830-609405450-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
    FF Extension: NetSecurity v14.4.30 - C:\Users\дуся\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\itsec@ip-net.org [2014-04-30]
    CHR Extension: (Блокиратор рекламы) - C:\Users\дуся\AppData\Local\Google\Chrome\User Data\Default\Extensions\ffggnenfffcgnknidmnbebcieofndljd [2014-10-24]
    CHR Extension: (Купоинт – дает скидки) - C:\Users\дуся\AppData\Local\Google\Chrome\User Data\Default\Extensions\ifpjamfehjeobjanpappgckkmnhjnpgi [2014-06-26]
    OPR Extension: (NetSecurity) - C:\Users\дуся\AppData\Roaming\Opera Software\Opera Stable\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2014-04-30]
    OPR Extension: (Dolka.ru) - C:\Users\дуся\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-04-30]
    2015-06-26 12:08 - 2015-06-26 13:26 - 00000081 _____ C:\Program Files\ZSIGBEHPKO.LSP
    2015-07-01 08:14 - 2014-08-26 10:13 - 00000000 ____D C:\Users\дуся\AppData\Roaming\systweak
    2015-07-01 08:14 - 2014-02-14 10:03 - 00000000 ____D C:\Users\дуся\AppData\Roaming\DigitalSites
    2015-07-01 08:14 - 2013-05-10 13:22 - 00000000 ____D C:\Users\дуся\AppData\Roaming\Funmoods
    2015-07-01 08:14 - 2013-05-10 13:22 - 00000000 ____D C:\Users\дуся\AppData\Roaming\DSite
    2015-06-29 22:01 - 2014-06-26 13:36 - 00000000 ____D C:\Program Files\Mobogenie
    2015-06-29 22:01 - 2014-04-30 20:11 - 00000000 ____D C:\Users\Все пользователи\Kbrowser utility
    2015-06-29 22:01 - 2014-04-30 20:11 - 00000000 ____D C:\ProgramData\Kbrowser utility
    Task: {00F8D18C-6102-4889-A497-61B672E54D77} - \Safebrowser No Task File <==== ATTENTION
    Task: {2050ACD1-5709-4B12-AB2E-92437221D3CD} - \Kinoroom Browser No Task File <==== ATTENTION
    Task: {2F0FBBC4-FB6B-4219-BF21-0EF5B82E1805} - \Программа онлайн-обновления Adobe. No Task File <==== ATTENTION
    Task: {31E8D216-9E72-43D2-89BA-5CD2AFD0F702} - \ASP No Task File <==== ATTENTION
    Task: {67C8830B-04B3-402E-93F3-B1F9A0BEA864} - \DealPly No Task File <==== ATTENTION
    Task: {8CB0C1BA-3856-4CFF-B334-B1CC1A176542} - \kbrowser-updater-utility No Task File <==== ATTENTION
    Task: {DF6B51AD-9895-457E-84CD-B88CAFE8BDE6} - \DealPlyUpdate No Task File <==== ATTENTION
    Task: {F2F4E209-297F-4744-9D7F-CA19313C010A} - \Funmoods No Task File <==== ATTENTION
    Task: {F87C45BC-8A68-498C-AE72-1D3FD1E95365} - \LaunchSignup No Task File <==== ATTENTION
    Hosts:
    Reboot:
    • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    22.04.2008
    Сообщений
    9
    Вес репутации
    36
    готово

    прикрепляю лог
    Вложения Вложения

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,674
    Вес репутации
    3027
    Папку C:\Users\дуся\ddqrz удалите вручную.

    С расшифровкой не поможем
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\dealply\dealplyupdate.exe - not-a-virus:AdWare.Win32.DealPly.clt ( BitDefender: Adware.DealPly.B )
      2. c:\users\f42f~1\appdata\roaming\digita~1\update~1\ update~1.exe - not-a-virus:AdWare.Win32.DealPly.bt ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )
      3. c:\users\дуся\appdata\roaming\digitalsites\updatep roc\updatetask.exe - not-a-virus:AdWare.Win32.DealPly.bt ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )
      4. c:\users\дуся\appdata\roaming\digita~1\update~1\up date~1.exe - not-a-virus:AdWare.Win32.DealPly.bt ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )
      5. c:\users\дуся\applic~1\digitalsites\updateproc\upd atetask.exe - not-a-virus:AdWare.Win32.DealPly.bt ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )
      6. c:\users\дуся\applic~1\digita~1\update~1\update~1. exe - not-a-virus:AdWare.Win32.DealPly.bt ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )


  • Уважаемый(ая) Klingzor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 26.06.2015, 05:38
    2. Ответов: 2
      Последнее сообщение: 30.05.2015, 20:20
    3. Ответов: 2
      Последнее сообщение: 17.06.2014, 06:30
    4. Ответов: 2
      Последнее сообщение: 03.06.2014, 18:12

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00497 seconds with 17 queries