pastral 0 Опубликовано 2 апреля, 2015 Share Опубликовано 2 апреля, 2015 Доброго времени суток. Словил шифровальщика. Все *txt, *rar и изображения стали XTLB. Компьютер лечил авастом и CureIT. Лог AVZ прикладываю. CollectionLog-2015.04.02-22.36.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 3 апреля, 2015 Share Опубликовано 3 апреля, 2015 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Program Files\Moo0\RightClicker Pro 1.46\RightClicker.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Windows\system.exe',''); DeleteFile('C:\Users\User\AppData\Local\Microsoft\Windows\system.exe','32'); DeleteFile('C:\Windows\system32\Tasks\RunAsStdUser Task','32'); DeleteFile('C:\Program Files\Moo0\RightClicker Pro 1.46\RightClicker.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk. Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky. Порядок действий на портале My Kaspersky:: 1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта; 2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию; 3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла; 4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected; 5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить. Важно: размер архива не должен превышать 15 МБ; 6) В строке EMail укажите адрес своей электронной почты; 7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O3 - Toolbar: (no name) - {C98EE38D-21E4-4A50-907D-2B56FEC7013E} - (no file) O3 - Toolbar: gtavicecity - {961a325c-7fdf-4a82-b0b5-43e136f4edb1} - C:\Program Files\gtavicecity Toolbar\rubar.dll O18 - Protocol: rubar - {7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} - C:\Program Files\gtavicecity Toolbar\rubar.dll Сделайте новые логи по правилам (только пункт 2). + логи AdwCleaner и FRSR http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Цитата Ссылка на сообщение Поделиться на другие сайты
pastral 0 Опубликовано 3 апреля, 2015 Автор Share Опубликовано 3 апреля, 2015 Ответ: Здравствуйте,В присланном Вами файле не найдено ничего вредоносного.С наилучшими пожеланиями, вирусный аналитик Addition.txt AdwCleanerR0.txt CollectionLog-2015.04.03-18.45.zip FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 3 апреля, 2015 Share Опубликовано 3 апреля, 2015 удалите всё найденное в AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160 \\ Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Task: {4BC7E9CC-FF5D-48A9-863D-D6E69541860F} - \RunAsStdUser Task No Task File <==== ATTENTION AlternateDataStreams: C:\ProgramData:NT AlternateDataStreams: C:\ProgramData:NT2 AlternateDataStreams: C:\Users\All Users:NT AlternateDataStreams: C:\Users\All Users:NT2 AlternateDataStreams: C:\Users\Все пользователи:NT AlternateDataStreams: C:\Users\Все пользователи:NT2 AlternateDataStreams: C:\ProgramData\Application Data:NT AlternateDataStreams: C:\ProgramData\Application Data:NT2 AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 HKLM\...\Run: [] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF SearchScopes: HKU\S-1-5-21-1332336934-4252269549-840028924-1003 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF S1 adgnetworktdi; system32\drivers\adgnetworktdi.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] 2015-03-31 17:58 - 2015-03-31 17:58 - 00000000 __SHD () C:\Users\Все пользователи\Windows 2015-03-31 17:58 - 2015-03-31 17:58 - 00000000 __SHD () C:\ProgramData\Windows Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
pastral 0 Опубликовано 4 апреля, 2015 Автор Share Опубликовано 4 апреля, 2015 Готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 4 апреля, 2015 Share Опубликовано 4 апреля, 2015 С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188 Цитата Ссылка на сообщение Поделиться на другие сайты
pastral 0 Опубликовано 5 апреля, 2015 Автор Share Опубликовано 5 апреля, 2015 С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188 Пробовал, копий нет. Уже понял что данный тип не дешифруется, отложил всю информацию до лучших времен. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.