pastral Опубликовано 2 апреля, 2015 Share Опубликовано 2 апреля, 2015 Доброго времени суток. Словил шифровальщика. Все *txt, *rar и изображения стали XTLB. Компьютер лечил авастом и CureIT. Лог AVZ прикладываю. CollectionLog-2015.04.02-22.36.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 3 апреля, 2015 Share Опубликовано 3 апреля, 2015 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Program Files\Moo0\RightClicker Pro 1.46\RightClicker.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Windows\system.exe',''); DeleteFile('C:\Users\User\AppData\Local\Microsoft\Windows\system.exe','32'); DeleteFile('C:\Windows\system32\Tasks\RunAsStdUser Task','32'); DeleteFile('C:\Program Files\Moo0\RightClicker Pro 1.46\RightClicker.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk. Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky. Порядок действий на портале My Kaspersky:: 1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта; 2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию; 3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла; 4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected; 5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить. Важно: размер архива не должен превышать 15 МБ; 6) В строке EMail укажите адрес своей электронной почты; 7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O3 - Toolbar: (no name) - {C98EE38D-21E4-4A50-907D-2B56FEC7013E} - (no file) O3 - Toolbar: gtavicecity - {961a325c-7fdf-4a82-b0b5-43e136f4edb1} - C:\Program Files\gtavicecity Toolbar\rubar.dll O18 - Protocol: rubar - {7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} - C:\Program Files\gtavicecity Toolbar\rubar.dll Сделайте новые логи по правилам (только пункт 2). + логи AdwCleaner и FRSR http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Ссылка на комментарий Поделиться на другие сайты More sharing options...
pastral Опубликовано 3 апреля, 2015 Автор Share Опубликовано 3 апреля, 2015 Ответ: Здравствуйте,В присланном Вами файле не найдено ничего вредоносного.С наилучшими пожеланиями, вирусный аналитик Addition.txt AdwCleanerR0.txt CollectionLog-2015.04.03-18.45.zip FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 3 апреля, 2015 Share Опубликовано 3 апреля, 2015 удалите всё найденное в AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160 \\ Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Task: {4BC7E9CC-FF5D-48A9-863D-D6E69541860F} - \RunAsStdUser Task No Task File <==== ATTENTION AlternateDataStreams: C:\ProgramData:NT AlternateDataStreams: C:\ProgramData:NT2 AlternateDataStreams: C:\Users\All Users:NT AlternateDataStreams: C:\Users\All Users:NT2 AlternateDataStreams: C:\Users\Все пользователи:NT AlternateDataStreams: C:\Users\Все пользователи:NT2 AlternateDataStreams: C:\ProgramData\Application Data:NT AlternateDataStreams: C:\ProgramData\Application Data:NT2 AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 HKLM\...\Run: [] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF SearchScopes: HKU\S-1-5-21-1332336934-4252269549-840028924-1003 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF S1 adgnetworktdi; system32\drivers\adgnetworktdi.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] 2015-03-31 17:58 - 2015-03-31 17:58 - 00000000 __SHD () C:\Users\Все пользователи\Windows 2015-03-31 17:58 - 2015-03-31 17:58 - 00000000 __SHD () C:\ProgramData\Windows Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
pastral Опубликовано 4 апреля, 2015 Автор Share Опубликовано 4 апреля, 2015 Готово Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 4 апреля, 2015 Share Опубликовано 4 апреля, 2015 С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188 Ссылка на комментарий Поделиться на другие сайты More sharing options...
pastral Опубликовано 5 апреля, 2015 Автор Share Опубликовано 5 апреля, 2015 С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188 Пробовал, копий нет. Уже понял что данный тип не дешифруется, отложил всю информацию до лучших времен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти