zkk777 0 Опубликовано 7 октября, 2014 Share Опубликовано 7 октября, 2014 Поймал несколько вирусов на одном файлообменнике, он предлагает скачать желаемый вами файл, после этого вы открываете файл (exe) и он предлагает вам скачать его, и снизу чекбоксы на всякие маил апдейторы. После того как я скачал желаемый мною файл компьютер просто стал кишать вирусами, я заметил шифратор (aes256) и реклама в браузере никак не смог убрать ни с авастом ни с касперским, пробовал подключится на прямую без модема все равно реклама. CollectionLog-2014.10.07-22.43.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 7 октября, 2014 Share Опубликовано 7 октября, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\Show-Password\Show_Password.exe',''); QuarantineFile('C:\Users\Альберт\AppData\Roaming\runWIN\update.exe',''); QuarantineFile('C:\Users\Альберт\AppData\Roaming\runWIN\Update.exe',''); QuarantineFile('C:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Users\Альберт\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe',''); QuarantineFileF('C:\Users\Альберт\AppData\Roaming\runWIN', '*.*', true,'', 0, 0, '', ''); QuarantineFileF('C:\Users\Альберт\AppData\Roaming\Mail.RU NewGamesT', '*.*', true,'', 0, 0, '', ''); DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32'); DeleteFile('C:\Users\Альберт\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32'); DeleteFile('C:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\Альберт\AppData\Roaming\runWIN\Update.exe','32'); DeleteFile('C:\Users\Альберт\AppData\Roaming\runWIN\update.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt'); DeleteFile('C:\WINDOWS\Tasks\PC Optimizer Pro64 startups.job','64'); DeleteFileMask('C:\Users\Альберт\AppData\Roaming\Mail.RU NewGamesT', '*', true); DeleteDirectory('C:\Users\Альберт\AppData\Roaming\Mail.RU NewGamesT'); DeleteFileMask('C:\Users\Альберт\AppData\Roaming\Microsoft DB', '*', true); DeleteDirectory('C:\Users\Альберт\AppData\Roaming\Microsoft DB'); DeleteFileMask('C:\Users\Альберт\AppData\Roaming\GemWare', '*', true); DeleteDirectory('C:\Users\Альберт\AppData\Roaming\GemWare'); DeleteFileMask('C:\Users\Альберт\AppData\Roaming\Browsers', '*', true); DeleteDirectory('C:\Users\Альберт\AppData\Roaming\Browsers'); DeleteFileMask('C:\Users\Альберт\AppData\Roaming\ICL', '*', true); DeleteDirectory('C:\Users\Альберт\AppData\Roaming\ICL'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
zkk777 0 Опубликовано 7 октября, 2014 Автор Share Опубликовано 7 октября, 2014 Все сделал по вашей инструкции, а как избавиться от вирусов, а главное как восстановить файлы? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 7 октября, 2014 Share Опубликовано 7 октября, 2014 Новые логи где? + Скачайте SITLog и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите sitlog.exe Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите Да В главном окне программы выберите проверку за последние три месяца и нажмите "Старт" По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt Прикрепите эти отчеты в вашей теме. Цитата Ссылка на сообщение Поделиться на другие сайты
zkk777 0 Опубликовано 8 октября, 2014 Автор Share Опубликовано 8 октября, 2014 Новые логи где? + Скачайте SITLog и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите sitlog.exeОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В главном окне программы выберите проверку за последние три месяца и нажмите "Старт" По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt Прикрепите эти отчеты в вашей теме. SITLog.txt SITLog_Info.txt CollectionLog-2014.10.08-16.14.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 8 октября, 2014 Share Опубликовано 8 октября, 2014 Удалите D:\Games\Outlast Whistleblower\OutlastLauncher.exe.bat D:\Tor Browser\Start Tor Browser.exe.bat D:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat Пересоздайте ярлыки C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnkC:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlast Whistleblower.lnkC:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnkC:\Users\Альберт\Desktop\Start Tor Browser.exe - Ярлык.lnk C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk Цитата Ссылка на сообщение Поделиться на другие сайты
zkk777 0 Опубликовано 8 октября, 2014 Автор Share Опубликовано 8 октября, 2014 Удалите D:\Games\Outlast Whistleblower\OutlastLauncher.exe.bat D:\Tor Browser\Start Tor Browser.exe.bat D:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat Пересоздайте ярлыки C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlast Whistleblower.lnk C:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\Users\Альберт\Desktop\Start Tor Browser.exe - Ярлык.lnk C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk таких бат файлов я не обноружил только exe и кстати зачем это? после этого реклама исчезнет или расшифруются файлы?) Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 8 октября, 2014 Share Опубликовано 8 октября, 2014 Если с рекламой не поможет, продолжим. Для расшифровки пробуйте http://rghost.ru/58412716 Цитата Ссылка на сообщение Поделиться на другие сайты
zkk777 0 Опубликовано 8 октября, 2014 Автор Share Опубликовано 8 октября, 2014 он не видит txt файлы( Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 8 октября, 2014 Share Опубликовано 8 октября, 2014 А остальные файлы? Цитата Ссылка на сообщение Поделиться на другие сайты
zkk777 0 Опубликовано 8 октября, 2014 Автор Share Опубликовано 8 октября, 2014 А остальные файлы? У меня только текстовики зашифрованы Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 8 октября, 2014 Share Опубликовано 8 октября, 2014 Уверены? Цитата Ссылка на сообщение Поделиться на другие сайты
zkk777 0 Опубликовано 8 октября, 2014 Автор Share Опубликовано 8 октября, 2014 @thyrex, Ну я заметил только картинки, текстовики и док файлы, возможно и архивы еще. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 8 октября, 2014 Share Опубликовано 8 октября, 2014 Ну я заметил только картинки, текстовики и док файлы, возможно и архивы еще А Вы говорите только текстовики Пароль один для всех зашифрованных файлов на Вашем компьютере. Если не смогло подобрать к выбранному Вами файлу, тогда увы Цитата Ссылка на сообщение Поделиться на другие сайты
zkk777 0 Опубликовано 8 октября, 2014 Автор Share Опубликовано 8 октября, 2014 @thyrex, и что уже ничего нельзя будет изменить, а вдруг у меня так очень важные файлы? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.