Boris Hodikin Опубликовано 26 июня, 2015 Share Опубликовано 26 июня, 2015 Все файлы зашифрованы. просят отправить код: 4742EB94FC6FAEC21B46|278|2|15 на электронный адрес post8881@gmail.com или post24932@gmail.com. Файл с логами прикреплен. CollectionLog-2015.06.26-13.09.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 26 июня, 2015 Share Опубликовано 26 июня, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\Torrent Search\rGEMbrz.exe',''); QuarantineFile('C:\Program Files (x86)\advPlugin\8Z1cz8R.exe.exe',''); QuarantineFile('C:\Users\СерЁжа\AppData\Roaming\Dorrible\Ribble\d.exe',''); QuarantineFile('C:\Users\СерЁжа\AppData\Roaming\newSI_2149\s_inst.exe',''); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}'); DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}'); DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}'); DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}'); QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\e4gRmi9etS.dll',''); QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\СерЁжа\AppData\Roaming\337Games\337Games.exe',''); QuarantineFile('C:\Users\СерЁжа\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Users\СерЁжа\AppData\Local\MapleStudio\chrome.bat',''); QuarantineFile('C:\Users\СерЁжа\AppData\Local\Kometa\kometaup.exe',''); QuarantineFile('C:\Users\СерЁжа\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe',''); QuarantineFile('C:\Users\СерЁжа\AppData\Local\Kometa\Application\kometa.exe',''); QuarantineFile('C:\ProgramData\Schedule\timetasks.exe',''); QuarantineFile('C:\ProgramData\Program status\scheck.exe',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL',''); QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL',''); DeleteService('qknfd'); QuarantineFile('C:\Windows\system32\drivers\qknfd.sys',''); QuarantineFile('C:\Windows\system32\drivers\screentk.sys',''); DeleteService('screentk'); QuarantineFile('C:\Program Files (x86)\webget\bin\utilwebget.exe',''); QuarantineFile('C:\Program Files (x86)\webget\updatewebget.exe',''); QuarantineFile('C:\ProgramData\IePluginServices\PluginService.exe',''); DeleteService('Update webget'); DeleteService('Util webget'); DeleteService('IePluginServices'); DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe','32'); DeleteFile('C:\Program Files (x86)\webget\updatewebget.exe','32'); DeleteFile('C:\Program Files (x86)\webget\bin\utilwebget.exe','32'); DeleteFile('C:\Windows\system32\drivers\screentk.sys','32'); DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32'); DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32'); DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32'); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\ProgramData\Program status\scheck.exe','32'); DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sCloudStatusCheck','command'); DeleteFile('C:\Users\СерЁжа\AppData\Local\Kometa\Application\kometa.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_A952C81FE04AB38C68940E5CCBA1DFD1'); DeleteFile('C:\Users\СерЁжа\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32'); DeleteFile('C:\Users\СерЁжа\AppData\Local\Kometa\kometaup.exe','32'); DeleteFile('C:\Users\СерЁжа\AppData\Local\MapleStudio\chrome.bat','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaLaunchPanel'); DeleteFile('C:\Users\СерЁжа\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\СерЁжа\AppData\Roaming\337Games\337Games.exe','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32'); DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\e4gRmi9etS.dll','32'); DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','64'); DeleteFile('C:\Users\СерЁжа\AppData\Roaming\newSI_2149\s_inst.exe','32'); DeleteFile('C:\Windows\system32\Tasks\newSI_2149','64'); DeleteFile('C:\Windows\system32\Tasks\Ribble.bak','64'); DeleteFile('C:\Users\СерЁжа\AppData\Roaming\Dorrible\Ribble\d.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin2','64'); DeleteFile('C:\Program Files (x86)\advPlugin\8Z1cz8R.exe.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search2','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search','64'); DeleteFile('C:\Program Files (x86)\Torrent Search\rGEMbrz.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам Ссылка на комментарий Поделиться на другие сайты More sharing options...
Boris Hodikin Опубликовано 29 июня, 2015 Автор Share Опубликовано 29 июня, 2015 С адреса newvirus@kaspersky.com ответили: KLAN-2927421743 Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.337Games.exeNo malicious code was found in this file.browser.bat,chrome.batA set of unknown files has been received. They will be sent to the Virus Lab. Новые логи прилагаются. ClearLNK-29.06.2015_09-59.log CollectionLog-2015.06.29-10.29.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 29 июня, 2015 Share Опубликовано 29 июня, 2015 Сделайте лог полного сканирования МВАМ Ссылка на комментарий Поделиться на другие сайты More sharing options...
Boris Hodikin Опубликовано 29 июня, 2015 Автор Share Опубликовано 29 июня, 2015 Файл полного сканирования MBAM mbam.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 29 июня, 2015 Share Опубликовано 29 июня, 2015 Удалите в МВАМ все найденное Ссылка на комментарий Поделиться на другие сайты More sharing options...
Boris Hodikin Опубликовано 30 июня, 2015 Автор Share Опубликовано 30 июня, 2015 Удалил все найденное в МВАМ. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 30 июня, 2015 Share Опубликовано 30 июня, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Boris Hodikin Опубликовано 30 июня, 2015 Автор Share Опубликовано 30 июня, 2015 Файлы от Farbar Recovery Scan Tool FRST.txt Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 30 июня, 2015 Share Опубликовано 30 июня, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => C:\PROGRA~2\SupTab\SEARCH~2.DLL File not found AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => "C:\PROGRA~2\SupTab\SEARCH~1.DLL" File not found GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-3789339701-493757619-45367190-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKU\S-1-5-21-3789339701-493757619-45367190-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=85628d3dc5b2a4edb84af556bc0a9d3e&text={searchTerms} HKU\S-1-5-21-3789339701-493757619-45367190-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=85628d3dc5b2a4edb84af556bc0a9d3e&text={searchTerms} SearchScopes: HKU\S-1-5-21-3789339701-493757619-45367190-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=85628d3dc5b2a4edb84af556bc0a9d3e&text= SearchScopes: HKU\S-1-5-21-3789339701-493757619-45367190-1001 -> {083491E3-5D64-492A-B252-4BAB89DAE005} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms} SearchScopes: HKU\S-1-5-21-3789339701-493757619-45367190-1001 -> {F4137D40-259A-4FB3-B780-F8C39B303C41} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=85628d3dc5b2a4edb84af556bc0a9d3e&text={searchTerms} BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File 2015-06-24 09:02 - 2015-06-24 09:02 - 06220854 _____ C:\Users\СерЁжа\AppData\Roaming\086558AD086558AD.bmp 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\СерЁжа\Desktop\README9.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\СерЁжа\Desktop\README8.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\СерЁжа\Desktop\README7.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\СерЁжа\Desktop\README6.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\СерЁжа\Desktop\README5.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\СерЁжа\Desktop\README4.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\СерЁжа\Desktop\README3.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\СерЁжа\Desktop\README2.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\СерЁжа\Desktop\README10.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\СерЁжа\Desktop\README1.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\Public\Desktop\README9.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\Public\Desktop\README8.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\Public\Desktop\README7.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\Public\Desktop\README6.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\Public\Desktop\README5.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\Public\Desktop\README4.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\Public\Desktop\README3.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\Public\Desktop\README2.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\Public\Desktop\README10.txt 2015-06-24 09:02 - 2015-06-24 09:02 - 00000903 _____ C:\Users\Public\Desktop\README1.txt 2015-06-23 18:33 - 2015-06-23 18:33 - 00000903 _____ C:\README9.txt 2015-06-23 18:33 - 2015-06-23 18:33 - 00000903 _____ C:\README8.txt 2015-06-23 18:33 - 2015-06-23 18:33 - 00000903 _____ C:\README7.txt 2015-06-23 18:33 - 2015-06-23 18:33 - 00000903 _____ C:\README6.txt 2015-06-23 18:33 - 2015-06-23 18:33 - 00000903 _____ C:\README5.txt 2015-06-23 18:33 - 2015-06-23 18:33 - 00000903 _____ C:\README4.txt 2015-06-23 18:33 - 2015-06-23 18:33 - 00000903 _____ C:\README3.txt 2015-06-23 18:33 - 2015-06-23 18:33 - 00000903 _____ C:\README2.txt 2015-06-23 18:33 - 2015-06-23 18:33 - 00000903 _____ C:\README10.txt 2015-06-23 18:22 - 2015-06-24 13:49 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-06-23 18:22 - 2015-06-24 13:49 - 00000000 __SHD C:\ProgramData\Windows 2015-06-18 08:39 - 2015-06-18 08:39 - 00000000 ____D C:\Users\СерЁжа\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета 2015-06-29 09:59 - 2014-06-12 14:22 - 00000000 ____D C:\Users\СерЁжа\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\337Games 2014-08-07 14:15 - 2014-08-07 14:15 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2014-12-04 09:34 - 2014-12-04 09:34 - 0000001 __RSH () C:\Program Files (x86)\Twilight Tech 2014-12-04 09:34 - 2014-12-04 09:34 - 0000001 __RSH () C:\Program Files (x86)\ver5BlockAndSurf 2014-12-04 09:34 - 2014-12-04 09:34 - 0000001 __RSH () C:\Program Files (x86)\Zaxar 2014-12-04 09:34 - 2014-12-04 09:34 - 0000001 __RSH () C:\Users\СерЁжа\AppData\Roaming\newSI_1 2014-12-04 09:34 - 2014-12-04 09:34 - 0000001 __RSH () C:\Users\СерЁжа\AppData\Roaming\SetMyHomePage 2014-12-04 09:34 - 2014-12-04 09:34 - 0000001 __RSH () C:\Users\СерЁжа\AppData\Roaming\VOPackage 2014-11-25 12:35 - 2014-11-25 12:35 - 0000166 ____H () C:\Users\СерЁжа\AppData\Local\BrowserManager.bat 2014-11-25 12:35 - 2015-03-01 19:04 - 0000148 ____H () C:\Users\СерЁжа\AppData\Local\Yandex.bat 2014-11-25 12:35 - 2014-06-19 20:23 - 0103752 ____H () C:\Users\СерЁжа\AppData\Local\Yаndех.bаt.exe 2014-11-25 12:35 - 2014-07-22 14:00 - 0876328 ____H (Yandex LLC) C:\Users\СерЁжа\AppData\Local\ВrоwsеrМаnаgеr.bаt.exe 2014-12-04 09:34 - 2014-12-04 09:34 - 0000001 __RSH () C:\ProgramData\Program status 2014-12-04 09:34 - 2014-12-04 09:34 - 0000001 __RSH () C:\ProgramData\Schedule Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification No Task File <==== ATTENTION Task: {5C0AEEEA-C154-45BE-8499-BEA5F11BAFF6} - \Microsoft\Windows\Defrag\ScheduledDefrag No Task File <==== ATTENTION Task: {753C47AE-EC5E-44B3-95A9-2C8E553F0E39} - \Microsoft\Windows\Windows Media Sharing\UpdateLibrary No Task File <==== ATTENTION Task: {994C86AD-A929-4B2C-88A0-4E25A107A029} - \Microsoft\Windows\SystemRestore\SR No Task File <==== ATTENTION Task: {9E0C8C2E-733F-4FE7-A447-905C123A2A2D} - \LaunchSignup No Task File <==== ATTENTION Task: {A4852917-39C8-4B13-9CEA-A51B46C3F5CC} - \Ribble No Task File <==== ATTENTION Task: {E00DBFA1-AF61-4EAA-9FC4-B45C635B9CD3} - \newSI_832602 No Task File <==== ATTENTION Task: {E3163C33-301D-4730-A266-5518C5ED3967} - \Microsoft\Windows\Bluetooth\UninstallDeviceTask No Task File <==== ATTENTION Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Boris Hodikin Опубликовано 1 июля, 2015 Автор Share Опубликовано 1 июля, 2015 Лог-файл в прикрепленном файла. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 1 июля, 2015 Share Опубликовано 1 июля, 2015 С расшифровкой не поможем Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти