Все файлы стали *.cry

[ivica 0]

Добрый день у меня возникла такая проблема ...несколько дней назад не понятно от куда установилось программа онлайн консультант...после чего музыкальные файлы начали открываться плеером через нее писав время ожидания 3 минуты...нажимав на рабочем столе на это ярлык вылазила табличка с надписью об оплате за какой то ключ что ли...после удаления этой программы легкие файлы типа мп3 текстовые изменил расширение дописав в конце cry

CollectionLog-2014.10.02-16.34.zip

[mike 1 1 047]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFileF('C:\Users\USER\appdata\roaming\system app', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\USER\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\USER\AppData\Roaming\Microsoft Office Standart', '*', true, ' ', 0, 0);     
 QuarantineFile('C:\Users\USER\appdata\roaming\system app\loader.exe','');
 QuarantineFile('C:\Users\USER\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Program Files\Ticno\Indexator\SearchService.exe','');
 DeleteFile('C:\Program Files\Ticno\Indexator\SearchService.exe','32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Users\USER\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
 DeleteFile('C:\Users\USER\appdata\roaming\system app\loader.exe','32');
 DeleteService('TicnoIndexator');   
 DeleteFileMask('C:\Users\USER\appdata\roaming\system app', '*', true, ' ');
 DeleteFileMask('C:\Users\USER\AppData\Local\Microsoft\Extensions', '*', true, ' ');
 DeleteFileMask('C:\extensions', '*', true, ' ');
 DeleteFileMask('C:\gmr_scripts', '*', true, ' ');
 DeleteFileMask('C:\Users\USER\AppData\Roaming\Microsoft DB', '*', true, ' ');
 DeleteFileMask('C:\Users\USER\AppData\Roaming\Microsoft Office Standart', '*', true, ' ');
 DeleteDirectory('C:\extensions');     
 DeleteDirectory('C:\gmr_scripts');     
 DeleteDirectory('C:\Users\USER\AppData\Roaming\Microsoft DB');     
 DeleteDirectory('C:\Users\USER\AppData\Roaming\Microsoft Office Standart');     
 DeleteDirectory('C:\Users\USER\appdata\roaming\system app');     
 DeleteDirectory('C:\Users\USER\AppData\Local\Microsoft\Extensions');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);    
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0c6c35a161245328d5666c8b8a842a59&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0c6c35a161245328d5666c8b8a842a59&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0c6c35a161245328d5666c8b8a842a59&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0c6c35a161245328d5666c8b8a842a59&text=

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

В архиве пришлите 2 зашифрованных картинки и 1 doc файл. 

 

[ivica 0]

лог:

 

# AdwCleaner v3.311 - Отчёт создан 03/10/2014 at 09:14:38

# Обновлено 30/09/2014 by Xplode

# Операционная система : Windows 7 Ultimate Service Pack 1 (32 bits)

# Имя пользователя : USER - USER-ПК

# Запущено из : C:\Users\USER\Desktop\adwcleaner_3.311.exe

# Настройки : Сканировать

 

***** [ Службы ] *****

 

 

***** [ Файлы / Папки ] *****

 

Папка Найдено : C:\Program Files\Ticno

Папка Найдено : C:\ProgramData\AlawarWrapper

Папка Найдено : C:\ProgramData\AlterGeo

Папка Найдено : C:\ProgramData\AVG Secure Search

Папка Найдено : C:\ProgramData\Ticno

Папка Найдено : C:\USERs\USER\AppData\Local\MailRu

Папка Найдено : C:\USERs\USER\AppData\Local\PackageAware

Папка Найдено : C:\USERs\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage

Папка Найдено : C:\USERs\USER\AppData\Roaming\Ticno

Папка Найдено : C:\USERs\USER\AppData\Roaming\VOPackage

 

***** [ задачи ] *****

 

задачa Найдено : Driver Booster Scan

задачa Найдено : Driver Booster Update

задачa Найдено : LaunchSignup

 

***** [ Ярлыки ] *****

 

 

***** [ Реестр ] *****

 

Значение Найдено : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}]

Ключ Найдено : HKCU\Software\AppDataLow\Software\click-n-mark

Ключ Найдено : HKCU\Software\click-n-mark

Ключ Найдено : HKCU\Software\IM

Ключ Найдено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}

Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706}

Ключ Найдено : HKCU\Software\Ticno Multibar

Ключ Найдено : HKLM\SOFTWARE\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468}

Ключ Найдено : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}

Ключ Найдено : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}

Ключ Найдено : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}

Ключ Найдено : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}

Ключ Найдено : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32

Ключ Найдено : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS

Ключ Найдено : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32

Ключ Найдено : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs

Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage

Ключ Найдено : HKLM\SOFTWARE\SearchProtect

Ключ Найдено : HKLM\SOFTWARE\Ticno Multibar

Ключ Найдено : HKLM\SOFTWARE\V-bates

Ключ Найдено : HKLM\SOFTWARE\webssearchesSoftware

Ключ Найдено : HKLM\SOFTWARE\XTRM Group Ltd.

 

***** [ Браузеры ] *****

 

-\\ Internet Explorer v11.0.9600.17280

 

 

-\\ Mozilla Firefox v

 

[ Файл : C:\USERs\USER\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js ]

 

 

-\\ Google Chrome v37.0.2062.120

 

*************************

 

AdwCleaner[R0].txt - [3004 octets] - [03/10/2014 09:06:39]

AdwCleaner[R1].txt - [3071 octets] - [03/10/2014 09:13:02]

AdwCleaner[R2].txt - [2991 octets] - [03/10/2014 09:14:38]

 

########## EOF - C:\AdwCleaner\AdwCleaner[R2].txt - [3051 octets] ##########

 

 

[Roman_Five 489]

ещё нужны лог FixerBro и логи автологгера.

 

всё найденное в AdwCleaner можете удалять (кроме Mail.ru, если нужен).

[ivica 0]

лог 2:

 

 FixerBro by glax24 v.2.7.0.43 [24.09.14]

WebSite: www.safezone.cc

DateLog: 03.10.2014 09:20:27

Run directory: C:\Users\USER\AppData\Local\Temp\FixerBro\FixerBro.exe

Log directory: C:\FixerBro\

IsAdmin: True

User: USER

__________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe

 

1. Проверка

================================ [ Ярлыки ] =================================

C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files\Internet Explorer\iexplore.exe.bat "http://www.bvs-ner.com/" - (Объект запуска не найден)]

C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk [C:\Program Files\Google\Chrome\Application\chrome.exe.bat "http://www.bvs-ner.com/" - (Объект запуска не найден)]

C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\790a9b09c70e855d\Google Chrome.lnk [C:\Program Files\Google\Chrome\Application\chrome.exe.bat "http://www.bvs-ner.com/" - (Объект запуска не найден)]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner\CCleaner - [Тихая очистка + завершение работы].lnk [C:\Program Files\CCleaner\CCleaner.exe /AUTO /SHUTDOWN]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner\CCleaner - [Тихая очистка + перезагрузка].lnk [C:\Program Files\CCleaner\CCleaner.exe /AUTO /RESTART]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner\CCleaner - [Тихая очистка].lnk [C:\Program Files\CCleaner\CCleaner.exe /AUTO]

=============================================================================

 

================================ [ Firefox ] ================================

ProfilePath: C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default

Homepage: хттп://www.yandex.ru/?win=144&clid=2121023

SelectedSearchEngine: Яндекс

DefaultSearchEngine: Яндекс

 

[Plugin_HKLM]

@adobe.com/FlashPlayer - Adobe® Flash® Player 15.0.0.152 Plugin (C:\Windows\system32\Macromed\Flash\NPSWF32_15_0_0_152.dll) (16.09.2014)

@adobe.com/ShockwavePlayer - Adobe Shockwave Player (C:\Windows\system32\Adobe\Director\np32dsw_1210150.dll (Adobe Systems, Inc.)) (11.03.2014)

@java.com/DTPlugin,version=10.67.2 - Java™ Deployment Toolkit (C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)) (09.08.2014)

@java.com/JavaPlugin,version=10.67.2 - Oracle® Next Generation Java™ Plug-In (C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)) (09.08.2014)

@microsoft.com/GENUINE -  (C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation)) (29.11.2011)

@microsoft.com/WLPG,version=16.4.3508.0205 - WLPG Install MIME type (C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)) (05.02.2013)

@tools.google.com/Google Update;version=3 - Google Update (C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.)) (18.09.2014)

@tools.google.com/Google Update;version=9 - Google Update (C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.)) (18.09.2014)

Adobe Reader - Handles PDFs in-place in Firefox (C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)) (05.08.2014)

adobe.com/AdobeAAMDetect -  (C:\Program Files\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll (Adobe Systems)) (21.03.2013)

 

[Plugin_HKCU]

@altergeo.ru/Html5loc -  (C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll (Altergeo)) (28.01.2013)

@unity3d.com/UnityPlayer,version=1.0 - Unity Player 3.5.6f4 (C:\Users\USER\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)) (24.09.2012)

 

[searchPlugin]

C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\yandex.ru-143804.xml (02.10.2014)

 

[Extension_HKLM]

Kaspersky URL Advisor - (C:\Program Files\Kaspersky Lab\Kaspersky CRYSTAL 3.0\FFExt\url_advisor@kaspersky.com) (02.10.2014)

Virtual Keyboard - (C:\Program Files\Kaspersky Lab\Kaspersky CRYSTAL 3.0\FFExt\virtual_keyboard@kaspersky.com) (02.10.2014)

Content Blocker - (C:\Program Files\Kaspersky Lab\Kaspersky CRYSTAL 3.0\FFExt\content_blocker@kaspersky.com) (02.10.2014)

Anti-Banner - (C:\Program Files\Kaspersky Lab\Kaspersky CRYSTAL 3.0\FFExt\anti_banner@kaspersky.com) (02.10.2014)

Safe Money - (C:\Program Files\Kaspersky Lab\Kaspersky CRYSTAL 3.0\FFExt\online_banking@kaspersky.com) (02.10.2014)

=============================================================================

 

============================= [ Google Chrome ] =============================

=============================================================================

 

 

[Roman_Five 489]

при новой проверке FixerBro очистите эти ярлыки:

C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files\Internet Explorer\iexplore.exe.bat "http://www.bvs-ner.com/" - (Объект запуска не найден)]
C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk [C:\Program Files\Google\Chrome\Application\chrome.exe.bat "http://www.bvs-ner.com/" - (Объект запуска не найден)]
C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\790a9b09c70e855d\Google Chrome.lnk [C:\Program Files\Google\Chrome\Application\chrome.exe.bat "http://www.bvs-ner.com/" - (Объект запуска не найден)]

новый лог приложите.
но не в виде текста, а прикрепите файл, пожалуйста. 

+

 

 

ещё нужны ... логи автологгера.

[ivica 0]

отчет

FixerBro_20141003.txt

[Roman_Five 489]

забыли выделить и нажать очистить.

[ivica 0]

повторно отчет

FixerBro_20141003 (2).txt

[Roman_Five 489]

с этим уже всё хорошо.

но в третий раз прошу выложить логи по правилам.

[mike 1 1 047]

+ это еще пришлите

 

 

В архиве пришлите 2 зашифрованных картинки и 1 doc файл. 

[ivica 0]

зашифрованые файлы

Картинки1.rar

ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt.rar

[Roman_Five 489]

 

 

но в третий раз прошу выложить логи по правилам.

4.

[ivica 0]

какие логи я не вложил

[mike 1 1 047]

 

 

зашифрованые файлы

doc файл зашифрованный тоже нужен.

 

 

 

какие логи я не вложил

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] пункт 3.