alexey_sat 0 Опубликовано 30 сентября, 2014 Share Опубликовано 30 сентября, 2014 Поймал такую, же фигню Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления. Для этого откройте ярлык 'Ваш консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл. Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты. TOR: https://www.torproject.org/ | Видео инструкция: url_1: http://y6kpyefykdvswxps.onion:4567/pay.html url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html HashKey: 05e6a1b7abb5dd353cf5d0ec80664187 ID: 2336 Сообщение от модератора Mark D. Pearlstone Перенесено из темы Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 30 сентября, 2014 Share Опубликовано 30 сентября, 2014 Порядок оформления запроса о помощи http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Ссылка на сообщение Поделиться на другие сайты
alexey_sat 0 Опубликовано 30 сентября, 2014 Автор Share Опубликовано 30 сентября, 2014 Закрыты файлы mp3, doc, docx, bmp, jpg, pdf и т.д. Скоро выложу лог Мбам Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 30 сентября, 2014 Share Опубликовано 30 сентября, 2014 В правилах нет лога МВАМ Ссылка на сообщение Поделиться на другие сайты
alexey_sat 0 Опубликовано 30 сентября, 2014 Автор Share Опубликовано 30 сентября, 2014 В правилах нет лога МВАМ В правилах нет лога МВАМ В этой теме http://forum.kasperskyclub.ru/index.php?showtopic=44148 выкладывали нужные логи, походу не помогли, и предложили выложить логи МБАМ, что я и хочу сделать как только пройдёт проверка Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 30 сентября, 2014 Share Опубликовано 30 сентября, 2014 @alexey_sat, нужно выполнять то, что просят вас, а не других. Если потребуется, то у вас попросят другие логи. Ссылка на сообщение Поделиться на другие сайты
alexey_sat 0 Опубликовано 30 сентября, 2014 Автор Share Опубликовано 30 сентября, 2014 @alexey_sat, нужно выполнять то, что просят вас, а не других. Если потребуется, то у вас попросят другие логи. Хорошо, извините сделаем как положено) Лог CollectionLog-2014.09.30-22.10.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 30 сентября, 2014 Share Опубликовано 30 сентября, 2014 Здравствуйте! Baidu Antivirus сами себе устанавливали? Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Program Files\suptab\dpinterface32.dll',''); QuarantineFile('C:\Program Files\suptab\search~1.dll',''); QuarantineFile('C:\Program Files\suptab\search~2.dll',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\newSI_23\s_inst.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\newnext.me\nengine.dll',''); QuarantineFile('C:\opera.bat',''); QuarantineFile('C:\Program Files\Internet Explorer\IEXPLORE.EXE.bat',''); QuarantineFile('C:\IEXPLORE.bat',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex\browser.bat',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows\system.vbs',''); QuarantineFile('C:\WINDOWS\system32\drivers\nethfdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{f2dee4ac-05d0-4e54-80bc-2dc0ba61a2c7}Gt.sys',''); QuarantineFile('C:\Documents and Settings\Application Data\JDMAKDH.exe',''); QuarantineFile('C:\Documents and Settings\Application Data\FF.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\{f2dee4ac-05d0-4e54-80bc-2dc0ba61a2c7}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\nethfdrv.sys','32'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows\system.vbs','32'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex\browser.bat','32'); DeleteFile('C:\IEXPLORE.bat','32'); DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE.EXE.bat','32'); DeleteFile('C:\opera.bat','32'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\newnext.me\nengine.dll','32'); DeleteFile('C:\WINDOWS\Tasks\06d755c8-0b5a-48f7-b3de-3732dd5ad90a-11.job','32'); DeleteFile('C:\WINDOWS\Tasks\06d755c8-0b5a-48f7-b3de-3732dd5ad90a-3.job','32'); DeleteFile('C:\WINDOWS\Tasks\FF.job','32'); DeleteFile('C:\WINDOWS\Tasks\JDMAKDH.job','32'); DeleteFile('C:\WINDOWS\Tasks\newSI_23.job','32'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\newSI_23\s_inst.exe','32'); DeleteFile('C:\Program Files\suptab\search~2.dll','32'); DeleteFile('C:\Program Files\suptab\search~1.dll','32'); DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32'); DeleteFile('C:\Documents and Settings\Application Data\FF.exe','32'); DeleteFile('C:\Documents and Settings\Application Data\JDMAKDH.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NextLive'); DeleteService('nethfdrv'); DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\newSI_23', '*', true, ' '); DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\newnext.me', '*', true, ' '); DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\newSI_23'); DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\newnext.me'); ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410199555&from=amt&uid=HitachiXHDS721612PLA380_PVF004Z41W92TN1W92TNX R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=27a50d44a7b0f107e1a0f19cd2f89895&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=288&systemid=448 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=27a50d44a7b0f107e1a0f19cd2f89895&text={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410199555&from=amt&uid=HitachiXHDS721612PLA380_PVF004Z41W92TN1W92TNX R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410199555&from=amt&uid=HitachiXHDS721612PLA380_PVF004Z41W92TN1W92TNX&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410199555&from=amt&uid=HitachiXHDS721612PLA380_PVF004Z41W92TN1W92TNX&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410199555&from=amt&uid=HitachiXHDS721612PLA380_PVF004Z41W92TN1W92TNX R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=288&systemid=448 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=288&systemid=448 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.istartsurf.com/web/?type=ds&ts=1410199555&from=amt&uid=HitachiXHDS721612PLA380_PVF004Z41W92TN1W92TNX&q={searchTerms} O2 - BHO: (no name) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите FixerBroОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В главном окне программы нажмите на кнопку "Проверить" Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt) По окончанию сканирования нажмите на кнопку "Отчет". Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме. Ссылка на сообщение Поделиться на другие сайты
alexey_sat 0 Опубликовано 30 сентября, 2014 Автор Share Опубликовано 30 сентября, 2014 Отчёты 2 раза уже отправил, все равно мне кажется что ошибка Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.quarantine.zipЭтот файл повреждён.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" AdwCleanerR0.txt FixerBro_20140930.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 30 сентября, 2014 Share Опубликовано 30 сентября, 2014 Baidu Antivirus сами себе устанавливали? ??? Ссылка на сообщение Поделиться на другие сайты
alexey_sat 0 Опубликовано 30 сентября, 2014 Автор Share Опубликовано 30 сентября, 2014 Baidu Antivirus сами себе устанавливали? ? Даже не скажу, может жена чего наклацала, незнаю Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 30 сентября, 2014 Share Опубликовано 30 сентября, 2014 У меня такое ощущение что вы первый скрипт AVZ вообще не выполняли, а выполнили вместо него сразу второй скрипт. Если это так, то нужно было сначала выполнить 1 скрипт, а потом 2. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 30 сентября, 2014 Share Опубликовано 30 сентября, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DelBHO('{84C9B457-C48F-46CC-90C0-5A310C64108A}'); SetServiceStart('BDEnhanceBoost', 4); DeleteService('BDEnhanceBoost'); SetServiceStart('bd0003', 4); DeleteService('bd0003'); QuarantineFile('C:\Program Files\Аудио и видео скачивание\IE\x86\Downloader.dll',''); DeleteFile('C:\Program Files\Аудио и видео скачивание\IE\x86\Downloader.dll','32'); DeleteFile('C:\WINDOWS\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0003.sys','32'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('bd0003'); BC_DeleteSvc('BDEnhanceBoost'); BC_Activate; RebootWindows(false); end. Компьютер перезагрузится. Удалите в AdwCleaner всё, кроме имеющего отношение к Mail.Ru Сделайте новые логи Ссылка на сообщение Поделиться на другие сайты
alexey_sat 0 Опубликовано 30 сентября, 2014 Автор Share Опубликовано 30 сентября, 2014 Логи CollectionLog-2014.10.01-00.08.zip AdwCleanerR2.txt FixerBro_20141001.txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 1 октября, 2014 Share Опубликовано 1 октября, 2014 запустите ещё раз FixerBro by glax 24 и после проверки нажмите исправить. новый лог приложите. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('BDKVRTP', 4); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\newSI_23\s_inst.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\JDMAKDH.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\FF.exe',''); QuarantineFile('C:\Documents and Settings\Application',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Amigo\Application\vk.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Amigo\Application\ok.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Amigo\Application\amigo.exe',''); QuarantineFile('C:\opera.bat',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex\browser.bat',''); QuarantineFile('C:\IEXPLORE.bat',''); QuarantineFile('C:\Program Files\Internet Explorer\IEXPLORE.EXE.bat',''); DeleteFile('C:\Program Files\Baidu\BaiduSd\1.8.0.1255\baidusdSvc.exe','32'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex\browser.bat','32'); DeleteFile('C:\IEXPLORE.bat','32'); DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE.EXE.bat','32'); DeleteFile('C:\opera.bat','32'); DeleteFile('C:\WINDOWS\Tasks\FF.job','32'); DeleteFile('C:\WINDOWS\Tasks\JDMAKDH.job','32'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\JDMAKDH.exe','32'); DeleteFile('C:\WINDOWS\Tasks\newSI_23.job','32'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\newSI_23\s_inst.exe','32'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\FF.exe','32'); DeleteService('BDKVRTP'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://philka.ru После проведённого лечения рекомендуется: - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Проверьте, что в этих папках: 2014-09-29 15:34:39 ----HD---- C:\Documents and Settings\Администратор\Application Data\Mail.RU NewGamesT 2014-09-29 15:33:01 ----D---- C:\Documents and Settings\Администратор\Application Data\tor 2014-09-29 15:32:54 ----D---- C:\Documents and Settings\Администратор\Application Data\Microsoft DB 2014-09-28 21:51:00 ----D---- C:\Documents and Settings\Администратор\Application Data\GemWare 2014-09-28 21:49:34 ----D---- C:\Documents and Settings\Администратор\Application Data\Tor Project 2014-09-28 21:48:47 ----D---- C:\Documents and Settings\Администратор\Application Data\ICL если ничего Вашего - удаляйте. Сделайте новые логи по правилам. + лог проверки MBAM (у Вас установлен) Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти