pblcb 0 Опубликовано 15 октября, 2014 Share Опубликовано 15 октября, 2014 Здравствуйте, помогите пожалуйста, заблокировались файлы Exel, Word, фотографии. Проблема возникла после того как запустила появившийся на рабочем столе ярлык "Онлайн консультант". Заранее благодарна. CollectionLog-2014.10.15-22.05.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 октября, 2014 Share Опубликовано 15 октября, 2014 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\program files (x86)\baidu\bindex.exe'); SetServiceStart('BAPIDRV', 4); SetServiceStart('WindowsMangerProtect', 4); SetServiceStart('Util ClearThink', 4); SetServiceStart('Update ClearThink', 4); QuarantineFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\uninst.exe',''); QuarantineFile('C:\Users\Irina\AppData\Roaming\runWIN\update.exe',''); QuarantineFile('C:\Users\Irina\AppData\Roaming\runWIN\Updates.exe',''); QuarantineFile('C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Users\Irina\AppData\Roaming\Identities\Mzemey.exe',''); QuarantineFile('C:\Program Files\Internet Explorer\iexplore.exe.bat',''); QuarantineFile('C:\Program Files (x86)\baidu\BindEx.exe',''); QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat',''); QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys',''); QuarantineFile('C:\Program Files (x86)\ClearThink\updateClearThink.exe',''); QuarantineFile('C:\Program Files (x86)\ClearThink\bin\utilClearThink.exe',''); QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe',''); QuarantineFile('C:\Program Files (x86)\SupTab\SupTab.dll',''); QuarantineFile('C:\Program Files (x86)\ClearThink\ClearThinkbho.dll',''); DeleteFile('C:\Program Files (x86)\SupTab\SupTab.dll','32'); DeleteFile('C:\Program Files (x86)\ClearThink\ClearThinkbho.dll','32'); DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32'); DeleteFile('C:\Program Files (x86)\ClearThink\bin\utilClearThink.exe','32'); DeleteFile('C:\Program Files (x86)\ClearThink\updateClearThink.exe','32'); DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32'); DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32'); DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32'); DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32'); DeleteFile('C:\Users\Irina\AppData\Roaming\Identities\Mzemey.exe','32'); DeleteFile('C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\Irina\AppData\Roaming\runWIN\Updates.exe','32'); DeleteFile('C:\Users\Irina\AppData\Roaming\runWIN\update.exe','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\uninst.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{34DB2CE1-4153-4559-A58A-47D8CE2A15DD}','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mzemey'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32'); DeleteService('BAPIDRV'); DeleteService('WindowsMangerProtect'); DeleteService('Util ClearThink'); DeleteService('Update ClearThink'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1410693519&from=cor&uid=HGSTXHTS541075A9E680_JA130912GN9HZMGN9HZMX R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll O2 - BHO: ClearThink - {7e6d4e3e-fc66-4036-9799-ce5c625c4c56} - C:\Program Files (x86)\ClearThink\ClearThinkbho.dll O4 - HKCU\..\Run: [Mzemey] C:\Users\Irina\AppData\Roaming\Identities\Mzemey.exe O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\Irina\AppData\Roaming\runWIN\Updates.exe O4 - HKCU\..\Run: [RuningWIN32] C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\Irina\AppData\Roaming\runWIN\update.exe O4 - Startup: runWIN.exe Сделайте новые логи по правилам. + логи Fixer Bro и AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647404 + Скачайте ComboFix здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe кажите id и hashkey из сообщения. Цитата Ссылка на сообщение Поделиться на другие сайты
pblcb 0 Опубликовано 17 октября, 2014 Автор Share Опубликовано 17 октября, 2014 HashKey: 525010117dd2f4acdef0b7bd6418b60d ID: 30653 дополнение У меня Win 8. Я так понимаю что ComboFix под него не запускается. AdwCleanerS0.txt FixerBro.zip FixerBro.txt CollectionLog-2014.10.17-10.09.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 октября, 2014 Share Опубликовано 17 октября, 2014 У меня Win 8. Я так понимаю что ComboFix под него не запускается Если 8.1, тогда не запускается Логи автосборщика почему не все? Цитата Ссылка на сообщение Поделиться на другие сайты
pblcb 0 Опубликовано 17 октября, 2014 Автор Share Опубликовано 17 октября, 2014 Сделала все по инструкции, что нужно переделать? Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 17 октября, 2014 Share Опубликовано 17 октября, 2014 pblcbПеределайте CollectionLog 1 Цитата Ссылка на сообщение Поделиться на другие сайты
pblcb 0 Опубликовано 18 октября, 2014 Автор Share Опубликовано 18 октября, 2014 вот новенький CollectionLog-2014.10.18-12.27.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 октября, 2014 Share Опубликовано 18 октября, 2014 Пофиксите в HiJack O2 - BHO: ClearThink - {7e6d4e3e-fc66-4036-9799-ce5c625c4c56} - C:\Program Files (x86)\ClearThink\ClearThinkbho.dll (file missing) Удалите папки C:\Users\Irina\AppData\Roaming\tor C:\Users\Irina\AppData\Roaming\Microsoft DB C:\Users\Irina\AppData\Roaming\GemWare C:\Users\Irina\AppData\Roaming\runWIN C:\Users\Irina\AppData\Roaming\Tor Project C:\Users\Irina\AppData\Roaming\ICL C:\ProgramData\360Quarant C:\$360Section C:\Program Files (x86)\ClearThink C:\Program Files (x86)\360 Для расшифровки пробуйте http://support.kaspersky.ru/viruses/disinfection/10556 Цитата Ссылка на сообщение Поделиться на другие сайты
pblcb 0 Опубликовано 18 октября, 2014 Автор Share Опубликовано 18 октября, 2014 Хочу выразить огромную благодарность, ей просто нет предела!!!!! Благодаря подробному описанию всех действий, все получилось, файлы восстановлены. СПАСИБО! Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 18 октября, 2014 Share Опубликовано 18 октября, 2014 Сделайте для контроля новые логи Автологгером. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.