Добрый день, пришло письмо на почту с архивом в котором собственно был вирус, открыв его стали заражены основные файлы .doc и прочие. Пример имени файла "[email protected] 1.0.0.0.id-TSSIWMWYDMVQDFHVLZFSCIOUDJEKUGFLUAGX-22.07.2015 8@[email protected]". Помогите пожалуйста, если сможете. Прикрепляю все логи, которые нужны плюс лог программы FRST, основываясь на записи на форуме. Спасибо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) shizipop, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\wlanmgr.dll','');
QuarantineFile('C:\WINDOWS\system32\d3dadapter.dll','');
DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}');
QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Microsoft\Internet Explorer\Extensions\APIHelper.dll','');
DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Microsoft\Internet Explorer\Extensions\APIHelper.dll','32');
DeleteFile('C:\WINDOWS\system32\d3dadapter.dll','32');
DeleteFile('C:\WINDOWS\system32\wlanmgr.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','');
DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\XCQLU','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\XCPSPSP','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Последний раз редактировалось thyrex; 23.07.2015 в 23:27.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: