Перейти к содержанию

Рекомендуемые сообщения

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Users\lili\AppData\Roaming\GKSWKV.exe','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\lili\AppData\Local\Yandex\browser.bat','');
 DeleteFile('C:\Program Files\MPK\mpk.exe','32');
 DeleteFile('C:\Users\lili\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-11.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-5.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Users\lili\AppData\Roaming\GKSWKV.exe','32');
 DeleteFile('C:\Windows\Tasks\GKSWKV.job','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-1-6','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-1-7','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-10_user','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-11','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-5','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-5_user','32');
 DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32');
 DeleteFile('C:\Windows\system32\Tasks\GKSWKV','32');
ExecuteSysClean;
ExecuteRepair(2);
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.luckysearches.com/?type=hp&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=841fd215d26572b5284348841fbd2754&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=841fd215d26572b5284348841fbd2754&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.luckysearches.com/?type=hp&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.luckysearches.com/web/?type=ds&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.luckysearches.com/web/?type=ds&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.luckysearches.com/?type=hp&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.luckysearches.com/web/?type=ds&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.luckysearches.com/web/?type=ds&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE&q={searchTerms}
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\Program Files\MPK\mpk.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Complitly - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\Users\lili\AppData\Roaming\Complitly\Complitly.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: SMTTB2009 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: (no name) - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - (no file)
O4 - HKCU\..\RunOnce: [Application Restart #2] C:\Users\lili\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --flag-switches-begin --flag-switches-end --disable-direct-npapi-requests --disable-client-side-phishing-detection --google-profile-info --simple-blur --restore-last-session -- http://land-saerch.ru
O20 - AppInit_DLLs:
 
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
×
×
  • Создать...