эрих Опубликовано 7 октября, 2014 Опубликовано 7 октября, 2014 Случайно загрузил на компьютер Baidu который залез во множество мест и даже в скрытые папки. но позже избавился от их. Спустя день появился ярлык мошенников войдя в который они предлогают решить проблему за даньги. С помощью диспечера задач нашёл последнего Baidu и избавился. И избавился от папки в которой находился ярлык мошенников и т.д. но доступ к фото видео и т.д. не появился.. Вот сделанные логи по инструкции данной сдесь http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] CollectionLog-2014.10.07-22.27.zip
Roman_Five Опубликовано 7 октября, 2014 Опубликовано 7 октября, 2014 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('BDSafeBrowser', 4); SetServiceStart('bd0004', 4); SetServiceStart('bd0002', 4); SetServiceStart('bd0001', 4); QuarantineFile('C:\Program Files\Mozilla Firefox\upd_ext.exe',''); QuarantineFile('C:\Users\евгений\AppData\Roaming\Skype\googleupd.exe',''); QuarantineFile('NewGamesT\Encrypt.exe',''); QuarantineFile('C:\Users\евгений\AppData\Roaming\runWIN\Update.exe',''); QuarantineFile('C:\Users\евгений\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Program Files\baidu\BindEx.exe',''); QuarantineFile('C:\ProgramData\Schedule\timetasks.exe',''); QuarantineFile('C:\Windows\system32\drivers\19FB76383.sys',''); DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32'); DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32'); DeleteFile('C:\Program Files\baidu\BindEx.exe','32'); DeleteFile('C:\Users\евгений\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\евгений\AppData\Roaming\runWIN\Update.exe','32'); DeleteFile('NewGamesT\Encrypt.exe','32'); DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','32'); DeleteFile('C:\Users\евгений\AppData\Roaming\Skype\googleupd.exe','32'); DeleteFile('C:\Program Files\Mozilla Firefox\upd_ext.exe','32'); DeleteFileMask('C:\Users\евгений\AppData\Roaming\Baidu\','* ',true ,' '); DeleteFileMask('C:\ProgramData\Baidu\','* ',true ,' '); DeleteFileMask('C:\Users\евгений\AppData\Roaming\GemWare\','* ',true ,' '); DeleteFileMask('C:\Users\евгений\AppData\Roaming\Tor Project\','* ',true ,' '); DeleteFileMask('C:\Users\евгений\AppData\Roaming\Browsers\','* ',true ,' '); DeleteFileMask('C:\Users\евгений\AppData\Roaming\ICL\','* ',true ,' '); DeleteDirectory('C:\Users\евгений\AppData\Roaming\Baidu ',' '); DeleteDirectory('C:\ProgramData\Baidu ',' '); DeleteDirectory('C:\Users\евгений\AppData\Roaming\GemWare ',' '); DeleteDirectory('C:\Users\евгений\AppData\Roaming\Tor Project ',' '); DeleteDirectory('C:\Users\евгений\AppData\Roaming\Browsers ',' '); DeleteDirectory('C:\Users\евгений\AppData\Roaming\ICL ',' '); DelCLSID('MozillaFirefox'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt'); DeleteService('BDSafeBrowser'); DeleteService('bd0004'); DeleteService('bd0002'); DeleteService('bd0001'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O4 - HKLM\..\Run: [Schedule] "C:\ProgramData\Schedule\timetasks.exe" O4 - HKCU\..\Run: [SystemScript] "C:\Users\евгений\AppData\Local\Microsoft\Windowssystem.vbs" O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\евгений\AppData\Roaming\runWIN\Update.exe O4 - HKCU\..\Run: [RuningWIN32] C:\Users\евгений\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe O4 - HKCU\..\Run: [baidu] C:\Program Files\baidu\BindEx.exe O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\евгений\AppData\Roaming\runWIN\update.exe O4 - HKCU\..\Run: [Encrypt] C:\Users\евгений\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe Сделайте новые логи по правилам. + лог AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 + лог FixerBro Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Запустите FixerBro. В главном окне программы нажмите на кнопку "Проверить". Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt). По окончанию сканирования нажмите на кнопку "Отчет". Сохраните лог утилиты. Прикрепите сохраненный отчет в вашей теме.
эрих Опубликовано 10 октября, 2014 Автор Опубликовано 10 октября, 2014 Логи AdwCleanerR3.txt FixerBro_20141010.txt
thyrex Опубликовано 10 октября, 2014 Опубликовано 10 октября, 2014 Сделайте новые логи по правилам. Где?
Roman_Five Опубликовано 10 октября, 2014 Опубликовано 10 октября, 2014 + @эрих, перестаньте вставлять цитаты из скриптов и рекомендаций. 1
эрих Опубликовано 10 октября, 2014 Автор Опубликовано 10 октября, 2014 AutoLogger CollectionLog-2014.10.10-17.58.zip
thyrex Опубликовано 10 октября, 2014 Опубликовано 10 октября, 2014 http://support.kaspersky.ru/viruses/disinfection/10556 пробуйте
эрих Опубликовано 11 октября, 2014 Автор Опубликовано 11 октября, 2014 http://support.kaspersky.ru/viruses/disinfection/10556 пробуйте Непомогло ( Пишет: Невозможно подобрать пароль
эрих Опубликовано 11 октября, 2014 Автор Опубликовано 11 октября, 2014 Увы, больше помочь нечем Увы, больше помочь нечем Больше вобще нет никаких вариантов??? у меня тут просто очень нужные фото зашифровались.
mike 1 Опубликовано 14 октября, 2014 Опубликовано 14 октября, 2014 Назовите мне ваш id и hashkey до 17 октября.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти