Перейти к содержанию

Все фотки и документы зашифровал


Рекомендуемые сообщения

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! Деинсталлируйте:

 



Currency calc
Extended Update
Guard.Mail.ru
Smiley Bar for Facebook
VK Downloader
Аудио и видео скачивание


 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\program files\advplugin\basement\extensionupdaterservice.exe');
 TerminateProcessByName('c:\program files\vk downloader\basement\extensionupdaterservice.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\program files\advplugin\backgroundsingleton.exe');
 TerminateProcessByName('c:\program files\vk downloader\backgroundsingleton.exe');
 SetServiceStart('Update Service for VK Downloader', 4);
 SetServiceStart('Update Service for advPlugin', 4);
 StopService('Update Service for VK Downloader');
 StopService('Update Service for advPlugin');
 QuarantineFile('C:\Users\Компик\AppData\Local\SystemDir\nethost.exe','');
 QuarantineFile('C:\Program Files\VK Downloader\Toolbar32.dll','');
 QuarantineFile('C:\Program Files\VK Downloader\Interfaces32.dll','');
 QuarantineFile('C:\Program Files\advPlugin\Toolbar32.dll','');
 QuarantineFile('C:\Program Files\advPlugin\Interfaces32.dll','');
 QuarantineFile('c:\program files\advplugin\basement\extensionupdaterservice.exe','');
 QuarantineFile('c:\program files\vk downloader\basement\extensionupdaterservice.exe','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 QuarantineFile('c:\program files\advplugin\backgroundsingleton.exe','');
 QuarantineFile('c:\program files\vk downloader\backgroundsingleton.exe','');
 DeleteFile('c:\program files\vk downloader\backgroundsingleton.exe','32');
 DeleteFile('c:\program files\advplugin\backgroundsingleton.exe','32');
 DeleteFile('c:\program files\vk downloader\basement\extensionupdaterservice.exe','32');
 DeleteFile('c:\program files\advplugin\basement\extensionupdaterservice.exe','32');
 DeleteFile('C:\Program Files\advPlugin\Interfaces32.dll','32');
 DeleteFile('C:\Program Files\advPlugin\Toolbar32.dll','32');
 DeleteFile('C:\Program Files\VK Downloader\Interfaces32.dll','32');
 DeleteFile('C:\Program Files\VK Downloader\Toolbar32.dll','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Advanced System Protector','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
 DeleteFile('C:\Users\Компик\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteService('Update Service for VK Downloader');
 DeleteService('Update Service for advPlugin');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 



O2 - BHO: advPlugin - {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} - C:\Program Files\advPlugin\Toolbar32.dll
O2 - BHO: VK Downloader - {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} - C:\Program Files\VK Downloader\Toolbar32.dll
O2 - BHO: Smiley Bar for Facebook - {944FEDFD-C4FD-441D-8275-9C651A9FFBDE} - C:\Program Files\Smiley Bar for Facebook\ScriptHost.dll
O2 - BHO: AVdowloads - {FA8C3F06-D4A0-471F-827B-1303BEA7A6A2} - C:\Program Files\Аудио и видео скачивание\IE\x86\Downloader.dll
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKLM\..\Run: [Client Server Runtime Subsystem] "C:\ProgramData\Windows\csrss.exe"
O4 - HKCU\..\RunOnce: [DigitalSites] wscript /E:vbscript /B "C:\Users\7C35~1\AppData\Roaming\DigitalSites\UpdateProc\bkup.dat"


 



  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.


  • Распакуйте архив с утилитой в отдельную папку.


  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 

move.gif

 


  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.


  • Прикрепите этот отчет к своему следующему сообщению.

 

 


 

 

Сделайте новые логи Автологгером. 

 





  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.


  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.


  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 


 

В следующем вашем ответе мне требуются следующие отчеты:

 

1. CollectionLog-yyyy.mm.dd-hh.mm.zip

 

2. ClearLNK-<Дата>.log

 

3. AdwCleaner[R0].txt

Ссылка на комментарий
Поделиться на другие сайты

  • 3 weeks later...

KLAN-2544802661

Это второе письмо. В присланном Вами файле обнаружено новое вредоносное программное обеспечение. 

Его детектирование будет включено в очередное обновление антивирусных баз. 
Благодарим за оказанную помощь.
Backdoor.Win32.Androm.gfbw
Sincerely yours,
Vasilios Hioureas,
Junior Malware analyst.это первое письмо

csrss.exe - Backdoor.Win32.Androm.gfbw

nethost.exe - Trojan-Dropper.Win32.Agent.olpl

 

 

Спасибо вам что помогаете мне. 

AdwCleanerR0.txt

ClearLNK-25.02.2015_21-02.log

CollectionLog-2015.02.25-21.22.zip

Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


B92LqRQ.png
Ссылка на комментарий
Поделиться на другие сайты

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1982895693-1219370536-886949401-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR Extension: (No Name) - C:\Users\Компик\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkgpajbdcbgaciibdeknligdaofmegma [2015-01-11]
CHR Extension: (No Name) - C:\Users\Компик\AppData\Local\Google\Chrome\User Data\Default\Extensions\edebcjjmoceeclemgkcjooilapiilnci [2013-07-02]
CHR Extension: (No Name) - C:\Users\Компик\AppData\Local\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai [2015-01-11]
2015-02-04 21:44 - 2015-02-25 19:23 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-02-04 21:44 - 2015-02-25 19:23 - 00000000 __SHD () C:\ProgramData\Windows
2015-02-25 19:05 - 2015-01-22 20:03 - 00000000 ____D () C:\Users\Компик\AppData\Roaming\VK Downloader
2015-02-05 18:22 - 2014-12-16 20:24 - 00000000 __SHD () C:\Users\Компик\AppData\Local\EmieUserList
2015-02-05 18:22 - 2014-12-16 20:24 - 00000000 __SHD () C:\Users\Компик\AppData\Local\EmieSiteList
2015-02-05 18:22 - 2014-12-16 20:24 - 00000000 __SHD () C:\Users\Компик\AppData\Local\EmieBrowserModeList
C:\Users\Компик\AppData\Local\Temp\10fFDOLDIIkc.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\10fFDOLDIIkc.exe
C:\Users\Компик\AppData\Local\Temp\1H3l7TTg5z7D.exe
C:\Users\Компик\AppData\Local\Temp\9N49zpRR4Hlm.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\9N49zpRR4Hlm.exe
C:\Users\Компик\AppData\Local\Temp\AAzf59kuITCP.exe
C:\Users\Компик\AppData\Local\Temp\AtJLR9mpPrBv.exe
C:\Users\Компик\AppData\Local\Temp\D9NuxRo4irau.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\D9NuxRo4irau.exe
C:\Users\Компик\AppData\Local\Temp\DataCard_Setup.exe
C:\Users\Компик\AppData\Local\Temp\dDPoIDtJqO3M.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\dDPoIDtJqO3M.exe
C:\Users\Компик\AppData\Local\Temp\DIO3gEMSQVQE.exe
C:\Users\Компик\AppData\Local\Temp\dX5ouitRBROA.exe
C:\Users\Компик\AppData\Local\Temp\eH1KAfvDf66h.exe
C:\Users\Компик\AppData\Local\Temp\fVIsmrsqmZx3.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\fVIsmrsqmZx3.exe
C:\Users\Компик\AppData\Local\Temp\gTIuFOuN4cKh.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\gTIuFOuN4cKh.exe
C:\Users\Компик\AppData\Local\Temp\hUOBl2bASqTa.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\hUOBl2bASqTa.exe
C:\Users\Компик\AppData\Local\Temp\idFdyM2e7QVb.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\idFdyM2e7QVb.exe
C:\Users\Компик\AppData\Local\Temp\iuhburqMueYr.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\iuhburqMueYr.exe
C:\Users\Компик\AppData\Local\Temp\JGmIrzhEjJIu.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\JGmIrzhEjJIu.exe
C:\Users\Компик\AppData\Local\Temp\oLrgHqHQeNgT.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\oLrgHqHQeNgT.exe
C:\Users\Компик\AppData\Local\Temp\oRlYl20Ld2kX.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\oRlYl20Ld2kX.exe
C:\Users\Компик\AppData\Local\Temp\OVvwTiKkrIpw.exe
C:\Users\Компик\AppData\Local\Temp\plOKH9Blk76o.exe
C:\Users\Компик\AppData\Local\Temp\Quarantine.exe
C:\Users\Компик\AppData\Local\Temp\R66Kz20hHTfx.exe
C:\Users\Компик\AppData\Local\Temp\ResetDevice.exe
C:\Users\Компик\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Компик\AppData\Local\Temp\sqlite3.dll
C:\Users\Компик\AppData\Local\Temp\TANQcLy5b1o1.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\TANQcLy5b1o1.exe
C:\Users\Компик\AppData\Local\Temp\tyh6yIrCPeei.exe
C:\Users\Компик\AppData\Local\Temp\VBHBTTeqg81d.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\VBHBTTeqg81d.exe
C:\Users\Компик\AppData\Local\Temp\VHzrCAllHss0.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\VHzrCAllHss0.exe
C:\Users\Компик\AppData\Local\Temp\w29lT90Uy3yC.decryptedKLR.exe
C:\Users\Компик\AppData\Local\Temp\w29lT90Uy3yC.exe
C:\Users\Компик\AppData\Local\Temp\yupdate-exec-yabrowser.exe
Task: {EADFBD91-3C94-4875-AB42-EAC5231FA0F4} - \nethost task No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:8FF81EB0
AlternateDataStreams: C:\Users\Все пользователи\Temp:8FF81EB0
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...