Показано с 1 по 12 из 12.

Зашифрованные файлы с расширением XTBL [not-a-virus:AdWare.Win32.Goopdate.f, not-a-virus:AdWare.Win32.Goopdate.d ] (заявка № 192199)

  1. #1
    Junior Member Репутация
    Регистрация
    03.11.2015
    Сообщений
    5
    Вес репутации
    31

    Зашифрованные файлы с расширением XTBL [not-a-virus:AdWare.Win32.Goopdate.f, not-a-virus:AdWare.Win32.Goopdate.d ]

    Принесли клиентский ПК. Шифровальщик угробил целый семейный фото альбом.
    Есть ли возможность восстановить?
    Ссылка на несколько зашифрованных файлов.
    https://drive.google.com/folderview?...lE&usp=sharing
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) iam_flasher, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Program Files\xtab\suptab.dll','');
     QuarantineFile('C:\Program Files\xtab\protectservice.exe','');
     QuarantineFile('C:\Program Files\xtab\iewatchdog.dll','');
     QuarantineFile('C:\Program Files\xtab\hpnotify.exe','');
     QuarantineFile('C:\Program Files\xtab\browerwatchff.dll','');
     QuarantineFile('C:\Program Files\xtab\browerwatchch.dll','');
     QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','');
     QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','');
     QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\npglobalupdateupdate4.dll','');
     QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','');
     QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','');
     QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\globalupdateondemand.exe','');
     QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\globalupdatebroker.exe','');
     QuarantineFile('C:\Users\Лера\AppData\Roaming\oursurfing\UninstallManager.exe','');
     QuarantineFile('C:\Program Files\Pay-By-Ads\Yahoo! Search\1.4.2.5\..\updt.js','');
     QuarantineFile('C:\Users\D9AB~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
     QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
     QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-7.exe','');
     QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-6.exe','');
     QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-5.exe','');
     QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-4.exe','');
     QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-11.exe','');
     QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-7.exe','');
     QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-6.exe','');
     QuarantineFile('C:\Program Files\CinemaPlus-4.5vV28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-3.exe','');
     QuarantineFile('C:\Program Files\CinemaPlus-4.5vV28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-11.exe','');
     QuarantineFile('C:\Program Files\CinemaPlus-4.5vV28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-10.exe','');
     QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-7.exe','');
     QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.exe','');
     QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-5.exe','');
     QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-4.exe','');
     QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-3.exe','');
     QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-11.exe','');
     QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-10.exe','');
     QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-7.exe','');
     QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.exe','');
     DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
     QuarantineFile('C:\Program Files\XTab\SupTab.dll','');
     QuarantineFile('C:\Windows\System32\KBDMAI.dll','');
     QuarantineFile('C:\Windows\System32\d3dadapter.dll','');
     QuarantineFile('C:\Users\Лера\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
     QuarantineFile('C:\Users\Лера\AppData\Local\Kometa\kometaup.exe','');
     SetServiceStart('Update Edu App', 4);
     SetServiceStart('Util Edu App', 4);
     SetServiceStart('{42f8f729-2fa8-44bb-b01a-28c57a8162c7}Gw', 4);
     SetServiceStart('{ab573ef7-acd0-4715-a5c0-420d2ee2cd93}Gw', 4);
     DeleteService('{42f8f729-2fa8-44bb-b01a-28c57a8162c7}Gw');
     DeleteService('{ab573ef7-acd0-4715-a5c0-420d2ee2cd93}Gw');
     DeleteService('Update Edu App');
     DeleteService('Util Edu App');
     DeleteService('fuwykory');
     DeleteService('globalUpdate');
     DeleteService('globalUpdatem');
     DeleteService('IHProtect Service');
     DeleteService('IhPul');
     DeleteService('PicexaService');
     DeleteService('ReimageRealTimeProtector');
     DeleteService('SSFK');
     DeleteService('vupuligo');
     DeleteService('WdsManPro');
     DeleteService('winzipersvc');
     QuarantineFile('C:\Program Files\WinZipper\winzipersvc.exe','');
     QuarantineFile('C:\ProgramData\3WMiniPro3\WMiniPro.exe','');
     QuarantineFile('C:\Users\Лера\AppData\Roaming\03000200-1433289265-0500-0006-000700080009\nst8B66.tmpfs','');
     QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
     QuarantineFile('C:\Program Files\Picexa\PicexaSvc.exe','');
     QuarantineFile('C:\Users\Лера\AppData\Roaming\TSv\TSvr.exe','');
     QuarantineFile('C:\Program Files\XTab\ProtectService.exe','');
     QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','');
     QuarantineFile('C:\Users\Лера\AppData\Local\03000200-1433246260-0500-0006-000700080009\snsk6E9C.tmp','');
     QuarantineFile('C:\Windows\system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{ab573ef7-acd0-4715-a5c0-420d2ee2cd93}Gw.sys','');
     QuarantineFile('C:\Windows\system32\drivers\{42f8f729-2fa8-44bb-b01a-28c57a8162c7}Gw.sys','');
     TerminateProcessByName('c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.exe');
     TerminateProcessByName('c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.exe');
     TerminateProcessByName('c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe');
     TerminateProcessByName('c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrsetup.exe');
     TerminateProcessByName('c:\program files\edu app\bin\eduapp.browseradapter.exe');
     TerminateProcessByName('c:\program files\edu app\bin\eduapp.expext.exe');
     TerminateProcessByName('c:\program files\edu app\bin\eduapp.purbrowse.exe');
     TerminateProcessByName('c:\program files\sfk\ssfk.exe');
     TerminateProcessByName('c:\program files\edu app\bin\utileduapp.exe');
     QuarantineFile('c:\program files\edu app\updateeduapp.exe','');
     QuarantineFile('c:\program files\sfk\ssfk.exe','');
     QuarantineFile('c:\program files\edu app\bin\eduapp.purbrowse.exe','');
     QuarantineFile('c:\program files\edu app\bin\eduapp.expext.exe','');
     QuarantineFile('c:\program files\edu app\bin\eduapp.browseradapter.exe','');
     QuarantineFile('c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrsetup.exe','');
     QuarantineFile('c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.exe','');
     QuarantineFile('c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.exe','');
     QuarantineFile('c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe','');
     DeleteFile('c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe','32');
     DeleteFile('c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.exe','32');
     DeleteFile('c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.exe','32');
     DeleteFile('c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrsetup.exe','32');
     DeleteFile('c:\program files\edu app\bin\eduapp.browseradapter.exe','32');
     DeleteFile('c:\program files\edu app\bin\eduapp.expext.exe','32');
     DeleteFile('c:\program files\edu app\bin\eduapp.purbrowse.exe','32');
     DeleteFile('c:\program files\sfk\ssfk.exe','32');
     DeleteFile('c:\program files\edu app\updateeduapp.exe','32');
     DeleteFile('C:\Windows\system32\drivers\{42f8f729-2fa8-44bb-b01a-28c57a8162c7}Gw.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{ab573ef7-acd0-4715-a5c0-420d2ee2cd93}Gw.sys','32');
     DeleteFile('C:\Windows\system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw.sys','32');
     DeleteFile('C:\Users\Лера\AppData\Local\03000200-1433246260-0500-0006-000700080009\snsk6E9C.tmp','32');
     DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','32');
     DeleteFile('C:\Program Files\XTab\ProtectService.exe','32');
     DeleteFile('C:\Users\Лера\AppData\Roaming\TSv\TSvr.exe','32');
     DeleteFile('C:\Program Files\Picexa\PicexaSvc.exe','32');
     DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
     DeleteFile('C:\Users\Лера\AppData\Roaming\03000200-1433289265-0500-0006-000700080009\nst8B66.tmpfs','32');
     DeleteFile('C:\ProgramData\3WMiniPro3\WMiniPro.exe','32');
     DeleteFile('C:\Program Files\WinZipper\winzipersvc.exe','32');
     DeleteFile('C:\Users\Лера\AppData\Local\Kometa\kometaup.exe','32');
     DeleteFile('C:\Users\Лера\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yahoo! Search');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaLaunchPanel');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
     DeleteFile('C:\Windows\System32\d3dadapter.dll','32');
     DeleteFile('C:\Windows\System32\KBDMAI.dll','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\d3dadapter\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\kbdmai\Parameters','ServiceDll');
     DeleteFile('C:\Program Files\XTab\SupTab.dll','32');
     DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.exe','32');
     DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-7.exe','32');
     DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-10.exe','32');
     DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-11.exe','32');
     DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-3.exe','32');
     DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-4.exe','32');
     DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-5.exe','32');
     DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.exe','32');
     DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-7.exe','32');
     DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-7.job','32');
     DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.job','32');
     DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-5_user.job','32');
     DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-5.job','32');
     DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-4.job','32');
     DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-3.job','32');
     DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-11.job','32');
     DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-10_user.job','32');
     DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-7.job','32');
     DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.job','32');
     DeleteFile('C:\Program Files\CinemaPlus-4.5vV28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-10.exe','32');
     DeleteFile('C:\Program Files\CinemaPlus-4.5vV28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-11.exe','32');
     DeleteFile('C:\Program Files\CinemaPlus-4.5vV28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-3.exe','32');
     DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-6.exe','32');
     DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-7.exe','32');
     DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-11.exe','32');
     DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-4.exe','32');
     DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-5.exe','32');
     DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-6.exe','32');
     DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-6.job','32');
     DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-5_user.job','32');
     DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-5.job','32');
     DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-4.job','32');
     DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-11.job','32');
     DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-7.job','32');
     DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-6.job','32');
     DeleteFile('C:\Windows\Tasks\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-3.job','32');
     DeleteFile('C:\Windows\Tasks\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-11.job','32');
     DeleteFile('C:\Windows\Tasks\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-10_user.job','32');
     DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-7.exe','32');
     DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
     DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-7.job','32');
     DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
     DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
     DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
     DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
     DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
     DeleteFile('C:\Windows\Tasks\SwZfMj0lpXNW25FUvlZZbS3WJ.job','32');
     DeleteFile('C:\Windows\Tasks\wsL6mQWOF7EQru.job','32');
     DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6','32');
     DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-7','32');
     DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-11','32');
     DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-3','32');
     DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-4','32');
     DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-5','32');
     DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6','32');
     DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-7','32');
     DeleteFile('C:\Windows\system32\Tasks\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-11','32');
     DeleteFile('C:\Windows\system32\Tasks\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-3','32');
     DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-6','32');
     DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-7','32');
     DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-11','32');
     DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-4','32');
     DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-5','32');
     DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-6','32');
     DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-7','32');
     DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
     DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
     DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
     DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
     DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
     DeleteFile('C:\Users\D9AB~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
     DeleteFile('C:\Program Files\Pay-By-Ads\Yahoo! Search\1.4.2.5\..\updt.js','32');
     DeleteFile('C:\Users\Лера\AppData\Roaming\oursurfing\UninstallManager.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\Reimage Reminder','32');
     DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','32');
     DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Updater','32');
     DeleteFile('C:\Windows\system32\Tasks\{315500D1-AD8D-4353-892A-2ADEB8BFE9DA}','32');
     DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\globalupdatebroker.exe','32');
     DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\globalupdateondemand.exe','32');
     DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','32');
     DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','32');
     DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\npglobalupdateupdate4.dll','32');
     DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','32');
     DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','32');
     DeleteFile('C:\Program Files\xtab\browerwatchch.dll','32');
     DeleteFile('C:\Program Files\xtab\browerwatchff.dll','32');
     DeleteFile('C:\Program Files\xtab\hpnotify.exe','32');
     DeleteFile('C:\Program Files\xtab\iewatchdog.dll','32');
     DeleteFile('C:\Program Files\xtab\protectservice.exe','32');
     DeleteFile('C:\Program Files\xtab\suptab.dll','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    03.11.2015
    Сообщений
    5
    Вес репутации
    31
    Скрипты выполнил, логи во вложении
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    03.11.2015
    Сообщений
    5
    Вес репутации
    31
    Готово
    Вложения Вложения
    • Тип файла: txt mbam.txt (225.0 Кб, 3 просмотров)

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ все найденное
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    03.11.2015
    Сообщений
    5
    Вес репутации
    31
    Удалил

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    03.11.2015
    Сообщений
    5
    Вес репутации
    31
    Готово!
    Вложения Вложения

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код:
    CreateRestorePoint:
    Task: {01FF4FB6-3558-404A-A84D-4D8A6D415B0F} - \{5F18651A-45FA-45D3-B2A7-795C054753B2} -> No File <==== ATTENTION
    Task: {08EF5508-1898-4AC0-BE0B-EB2B46DF8228} - System32\Tasks\Ball Style => Rundll32.exe "C:\Users\Лера\AppData\Local\Ball Style\xBin\BallStyle.dll",#3 <==== ATTENTION
    Task: {60C1EFB8-8947-49F1-8858-D098BD1B5A42} - \ReimageUpdater -> No File <==== ATTENTION
    Task: {67CA6CDC-1792-4924-8C69-60A3020EE012} - \Reimage Reminder -> No File <==== ATTENTION
    Task: {6CC7D8E1-7A00-4FB4-8AD9-A55C942611D6} - \{315500D1-AD8D-4353-892A-2ADEB8BFE9DA} -> No File <==== ATTENTION
    Task: {6E2CF633-145F-480B-A167-E1E16F5C4E4E} - \DealPly -> No File <==== ATTENTION
    Task: {7533194D-340C-4BD4-9425-F59F7049D12C} - \Yahoo! Search Updater -> No File <==== ATTENTION
    AlternateDataStreams: C:\Users\Лера\Local Settings:wa
    AlternateDataStreams: C:\Users\Лера\AppData\Local:wa
    AlternateDataStreams: C:\Users\Лера\AppData\Local\Application Data:wa
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
    BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
    BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
    BHO: No Name -> {EF7BD87A-8024-11E2-F316-F3E56188709B} -> No File
    Toolbar: HKLM - No Name - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} -  No File
    Toolbar: HKU\S-1-5-21-3059736404-2367197363-3117671072-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-3059736404-2367197363-3117671072-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    Toolbar: HKU\S-1-5-21-3059736404-2367197363-3117671072-1001 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
    Toolbar: HKU\S-1-5-21-3059736404-2367197363-3117671072-1001 -> No Name - {8DEC4B69-27C4-405D-A37D-8D45C83F66AB} -  No File
    FF SearchEngineOrder.1: Ask.com
    FF Plugin: @java.com/DTPlugin,version=11.25.2 -> C:\Program Files\Java\jre1.8.0_25\bin\dtplugin\npDeployJava1.dll [No File]
    FF Plugin: @java.com/JavaPlugin,version=11.25.2 -> C:\Program Files\Java\jre1.8.0_25\bin\plugin2\npjp2.dll [No File]
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Extension: The Safe Surfing - C:\Users\Лера\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2015-09-12] [not signed]
    FF Extension: Info Enhancer for Firefox - C:\Users\Лера\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2013-11-14] [not signed]
    FF Extension: Desktopy - C:\Users\Лера\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97}.xpi [2014-12-09] [not signed]
    2015-08-26 21:11 - 2015-08-26 21:42 - 00000000 ____D C:\rei
    2015-08-26 21:11 - 2015-08-26 21:12 - 00000000 ____D C:\Users\Все пользователи\Reimage Protector
    2015-08-26 21:11 - 2015-08-26 21:12 - 00000000 ____D C:\ProgramData\Reimage Protector
    2015-08-26 21:11 - 2015-08-26 21:11 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
    2015-08-26 21:11 - 2015-08-26 21:11 - 00000000 ____D C:\Program Files\Reimage
    2015-08-26 21:10 - 2015-08-26 21:42 - 00000120 _____ C:\Windows\Reimage.ini
    2015-04-19 00:20 - 2015-04-19 00:20 - 0005872 _____ () C:\Users\Лера\AppData\Roaming\SwZfMj0lpXNW25FUvlZZbS3WJ
    2015-04-14 04:28 - 2015-04-14 04:28 - 0004387 _____ () C:\Users\Лера\AppData\Roaming\wsL6mQWOF7EQru
    Reboot:
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 171
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-10.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa
      2. c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-11.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.yv1@kaJiykfO )
      3. c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.sz1@kex5eWgi )
      4. c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-7.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.9u1@kyxAxcgO )
      5. c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-3.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.yv1@kaJiykfO )
      6. c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-4.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.qv1@kCPB84cO )
      7. c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-5.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.hv1@kerkbEjO )
      8. c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa
      9. c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-7.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.9u1@kyxAxcgO )
      10. c:\program files\cinemaplus-4.5vv28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-10.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa
      11. c:\program files\cinemaplus-4.5vv28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-11.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.tv1@kWv22QkO )
      12. c:\program files\cinemaplus-4.5vv28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-3.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.tv1@kWv22QkO )
      13. c:\program files\edu app\bin\eduapp.browseradapter.exe - not-a-virus:AdWare.Win32.BrowseFox.dmss
      14. c:\program files\edu app\bin\eduapp.expext.exe - not-a-virus:AdWare.Win32.BrowseFox.dmss
      15. c:\program files\edu app\bin\eduapp.purbrowse.exe - not-a-virus:AdWare.Win32.BrowseFox.dmss
      16. c:\program files\edu app\updateeduapp.exe - not-a-virus:AdWare.Win32.BrowseFox.dmss
      17. c:\program files\globalupdate\update\globalupdate.exe - not-a-virus:RiskTool.Win32.GlobalUpdate.dx ( DrWEB: Adware.Boxore.5 )
      18. c:\program files\globalupdate\update\1.3.25.0\globalupdatebro ker.exe - not-a-virus:AdWare.Win32.Goopdate.a ( DrWEB: Adware.Boxore.2 )
      19. c:\program files\globalupdate\update\1.3.25.0\globalupdateond emand.exe - not-a-virus:AdWare.Win32.Goopdate.b ( DrWEB: Adware.Boxore.2 )
      20. c:\program files\globalupdate\update\1.3.25.0\goopdate.dll - not-a-virus:AdWare.Win32.Goopdate.c
      21. c:\program files\globalupdate\update\1.3.25.0\goopdateres_en. dll - not-a-virus:AdWare.Win32.Goopdate.d
      22. c:\program files\globalupdate\update\1.3.25.0\npglobalupdateu pdate4.dll - not-a-virus:AdWare.Win32.Goopdate.e
      23. c:\program files\globalupdate\update\1.3.25.0\psmachine.dll - not-a-virus:AdWare.Win32.Goopdate.f
      24. c:\program files\globalupdate\update\1.3.25.0\psuser.dll - not-a-virus:AdWare.Win32.Goopdate.f
      25. c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe - not-a-virus:Downloader.Win32.Montiera.al
      26. c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrsetup.exe - not-a-virus:Downloader.Win32.Montiera.al ( BitDefender: Gen:Variant.Application.Strictor.64185 )
      27. c:\program files\pay-by-ads\yahoo! search\1.4.2.5\..\updt.js - Trojan.JS.Starter.b
      28. c:\program files\picexa\picexasvc.exe - not-a-virus:AdWare.Win32.ELEX.ed
      29. c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-11.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.Av1@k0QSEqeO )
      30. c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-6.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.Ez1@kuGPDZei )
      31. c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-7.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.gv1@kmup1OgO )
      32. c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-4.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.Bv1@kKVoSjmO )
      33. c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-5.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.cv1@kuqb71bO )
      34. c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-6.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993 )
      35. c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-7.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.gv1@kmup1OgO )
      36. c:\program files\xtab\browerwatchch.dll - not-a-virus:AdWare.Win32.SearchProtect.rw ( DrWEB: Adware.Mutabaha.119, AVAST4: Win32:SearchProtect-S [Adw] )
      37. c:\program files\xtab\browerwatchff.dll - not-a-virus:AdWare.Win32.SearchProtect.rw ( DrWEB: Adware.Mutabaha.119, AVAST4: Win32:SearchProtect-S [Adw] )
      38. c:\program files\xtab\hpnotify.exe - not-a-virus:AdWare.Win32.SearchProtect.so ( AVAST4: Win32:SupTab-M [Adw] )
      39. c:\program files\xtab\iewatchdog.dll - not-a-virus:AdWare.Win32.SubTab.e ( DrWEB: Adware.Mutabaha.120, AVAST4: Win32:SearchProtect-S [Adw] )
      40. c:\program files\xtab\protectservice.exe - not-a-virus:AdWare.Win32.ELEX.ee ( AVAST4: Win32:SupTab-M [Adw] )
      41. c:\program files\xtab\suptab.dll - not-a-virus:AdWare.Win32.SubTab.e ( AVAST4: Win32:SupTab-L [Adw] )
      42. c:\programdata\3wminipro3\wminipro.exe - not-a-virus:AdWare.Win32.WProtManager.cb ( AVAST4: Win32:Rootkit-gen [Rtk] )
      43. c:\windows\system32\drivers\{ab573ef7-acd0-4715-a5c0-420d2ee2cd93}gw.sys - not-a-virus:RiskTool.Win32.NetFilter.ao ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.BrowseFox.V )
      44. c:\windows\system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}gw.sys - not-a-virus:RiskTool.Win32.NetFilter.ao ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.BrowseFox.V )
      45. c:\windows\system32\drivers\{42f8f729-2fa8-44bb-b01a-28c57a8162c7}gw.sys - not-a-virus:RiskTool.Win32.NetFilter.ao ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.BrowseFox.V )


  • Уважаемый(ая) iam_flasher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зашифрованные файлы с расширением .xtbl
      От Vlad1604 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.06.2015, 18:43
    2. Ответов: 1
      Последнее сообщение: 20.04.2015, 16:31
    3. Зашифрованные файлы с расширением xtbl
      От asss в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 20.03.2015, 11:48
    4. Зашифрованные файлы с расширением xtbl
      От Татьяна Загайнова в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 13.03.2015, 22:59
    5. Ответов: 16
      Последнее сообщение: 18.01.2015, 15:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01192 seconds with 17 queries