Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус шифратор (.xtbl)

alytrewq
 Поделиться

Рекомендуемые сообщения

alytrewq Новичок

alytrewq

Опубликовано
Опубликовано

Вирус перешифровал файлы, текст. файлы ридми на каждом диске по 10 штук.

в каждом написано следующее:

 
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
C09E734AC8CA688359E3|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
C09E734AC8CA688359E3|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
хочется вернуть все файлы. логи вложил.

CollectionLog-2015.07.04-11.50.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\папа\appdata\roaming\aspackage\aspackage.exe','');
QuarantineFile('C:\WINDOWS\storegidfilter.sys','');
QuarantineFile('C:\WINDOWS\system32\vcl.dll','');
QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js','');
QuarantineFile('C:\Program Files (x86)\advPlugin\FAsYeudmN8.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV31.03\d2d768f4-b84e-4f3c-82dd-5c7c8539726f-5.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-3.2cV31.03\d2d768f4-b84e-4f3c-82dd-5c7c8539726f-10.exe','');
QuarantineFile('C:\Program Files (x86)\ver1BlockAndSurf\J4BlockAndSurfJ52.exe','');
DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
DelBHO('{432E9637-3AA7-CB3E-6857-2805045EAF0E}');
QuarantineFile('C:\Program Files (x86)\ver1BlockAndSurf\191.dll','');
QuarantineFile('C:\Users\папа\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\папа\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\папа\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\Users\папа\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Program Files (x86)\skinapp\skinapp.exe','');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}w64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{26c0e773-8915-4ae2-90ba-954e6737ff14}w64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{2c7e9044-6b3b-4ecc-9224-8b8c893f6fc1}w64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{442ad619-2fad-4d96-9434-49e6d1c6e280}w64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{82adbb5d-7d8c-4f2d-9936-53071e499858}w64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{8fb4e628-35c6-4275-89be-ce3462febcc4}w64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{ca3c2c78-69c6-4c7a-8da3-c35e987fa627}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{ca6b750a-d001-404b-be03-93ff7fa91d1b}w64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{d274785e-a122-4588-b510-cd4d0fe10348}w64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}w64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{e02a28a6-3b1b-4db6-97b9-9df9ceaa4aab}w64.sys','');
DeleteService('{e02a28a6-3b1b-4db6-97b9-9df9ceaa4aab}w64');
DeleteService('{db4225e9-90b8-4ca5-99da-da423e504d3d}w64');
DeleteService('{d274785e-a122-4588-b510-cd4d0fe10348}w64');
DeleteService('{ca6b750a-d001-404b-be03-93ff7fa91d1b}w64');
DeleteService('{ca3c2c78-69c6-4c7a-8da3-c35e987fa627}Gw64');
DeleteService('{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64');
DeleteService('{8fb4e628-35c6-4275-89be-ce3462febcc4}w64');
DeleteService('{82adbb5d-7d8c-4f2d-9936-53071e499858}w64');
DeleteService('{442ad619-2fad-4d96-9434-49e6d1c6e280}w64');
DeleteService('{2c7e9044-6b3b-4ecc-9224-8b8c893f6fc1}w64');
DeleteService('{26c0e773-8915-4ae2-90ba-954e6737ff14}w64');
DeleteService('{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}w64');
DeleteService('TSDefenseBt');
DeleteService('TS888x64');
DeleteService('TFsFlt');
SetServiceStart('Bibjolno120', 4);
DeleteService('Bibjolno120');
SetServiceStart('QMUdisk', 4);
DeleteService('QMUdisk');
SetServiceStart('QQSysMonX64', 4);
DeleteService('QQSysMonX64');
SetServiceStart('TSCPM', 4);
SetServiceStart('TAOKernelDriver', 4);
SetServiceStart('TAOAccelerator', 4);
SetServiceStart('SPDRIVER_1.42.1.1867', 4);
DeleteService('SPDRIVER_1.42.1.1867');
DeleteService('TAOAccelerator');
DeleteService('TAOKernelDriver');
DeleteService('TSCPM');
DeleteService('TSSysKit');
DeleteService('skinapp');
QuarantineFile('C:\WINDOWS\skinapp.sys','');
QuarantineFile('C:\PROGRA~2\YouTube Accelerator\YouTubeAcceleratorService.exe','');
DeleteService('TAOFrame');
QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe','');
DeleteService('SPBIUpd');
DeleteService('qrsvc_1.10.0.12');
DeleteService('QQPCRTP');
SetServiceStart('Wegjeni', 4);
DeleteService('Wegjeni');
QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.1867\jsdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Bibjolno120.sys','');
QuarantineFile('C:\WINDOWS\system32\Wegjeni.dll','');
QuarantineFile('C:\ProgramData\KaoqSevua\ywudfeu.dll','');
QuarantineFile('C:\ProgramData\KaoqSevua\nss3.dll','');
TerminateProcessByName('c:\programdata\kaoqsevua\ywuwfe.exe');
QuarantineFile('c:\programdata\kaoqsevua\ywuwfe.exe','');
TerminateProcessByName('c:\programdata\kaoqsevua\ywudfe.exe');
QuarantineFile('c:\programdata\kaoqsevua\ywudfe.exe','');
TerminateProcessByName('c:\programdata\kaoqsevua\ywuafe.exe');
QuarantineFile('c:\programdata\kaoqsevua\ywuafe.exe','');
TerminateProcessByName('c:\programdata\kaoqsevua\wegjeni.exe');
QuarantineFile('c:\programdata\kaoqsevua\wegjeni.exe','');
TerminateProcessByName('c:\users\папа\appdata\local\gmsd_ru_185\upgmsd_ru_185.exe');
QuarantineFile('c:\users\папа\appdata\local\gmsd_ru_185\upgmsd_ru_185.exe','');
TerminateProcessByName('c:\programdata\kaoqsevua\iaboaxyjfi.exe');
QuarantineFile('c:\programdata\kaoqsevua\iaboaxyjfi.exe','');
DeleteFile('c:\programdata\kaoqsevua\iaboaxyjfi.exe','32');
DeleteFile('c:\users\папа\appdata\local\gmsd_ru_185\upgmsd_ru_185.exe','32');
DeleteFile('c:\programdata\kaoqsevua\wegjeni.exe','32');
DeleteFile('c:\programdata\kaoqsevua\ywuafe.exe','32');
DeleteFile('c:\programdata\kaoqsevua\ywudfe.exe','32');
DeleteFile('c:\programdata\kaoqsevua\ywuwfe.exe','32');
DeleteFile('C:\ProgramData\KaoqSevua\libnspr4.dll','32');
DeleteFile('C:\ProgramData\KaoqSevua\libplc4.dll','32');
DeleteFile('C:\ProgramData\KaoqSevua\libplds4.dll','32');
DeleteFile('C:\ProgramData\KaoqSevua\nss3.dll','32');
DeleteFile('C:\ProgramData\KaoqSevua\nssutil3.dll','32');
DeleteFile('C:\ProgramData\KaoqSevua\smime3.dll','32');
DeleteFile('C:\ProgramData\KaoqSevua\ywudfeu.dll','32');
DeleteFile('C:\WINDOWS\system32\Wegjeni.dll','32');
DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.1867\jsdrv.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQSysMonX64.sys','32');
DeleteFile('C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys','32');
DeleteFile('C:\WINDOWS\System32\Drivers\TAOKernel64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\tscpm64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TSSysKit64.sys','32');
DeleteFile('qrsvc_1.10.0.12','32');
DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TAOFrame.exe','32');
DeleteFile('C:\WINDOWS\system32\Drivers\TAOKernel64.sys','32');
DeleteFile('C:\WINDOWS\skinapp.sys','32');
DeleteFile('Bibjolno120.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{e02a28a6-3b1b-4db6-97b9-9df9ceaa4aab}w64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}w64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{d274785e-a122-4588-b510-cd4d0fe10348}w64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{ca6b750a-d001-404b-be03-93ff7fa91d1b}w64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{ca3c2c78-69c6-4c7a-8da3-c35e987fa627}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{a081059f-4e06-4f49-9a1e-4b92e171ba25}w64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{8fb4e628-35c6-4275-89be-ce3462febcc4}w64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{82adbb5d-7d8c-4f2d-9936-53071e499858}w64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{442ad619-2fad-4d96-9434-49e6d1c6e280}w64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{2c7e9044-6b3b-4ecc-9224-8b8c893f6fc1}w64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{26c0e773-8915-4ae2-90ba-954e6737ff14}w64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{19e0dd42-6e7b-42ea-b9ce-7baf10a5320d}w64.sys','32');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMContextScan.dll','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMContextScan64.dll','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMContextUninstall64.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{63332668-8CE1-445D-A5EE-25929176714E}');
DeleteFile('C:\Program Files (x86)\skinapp\skinapp.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','skinapp');
DeleteFile('C:\Users\папа\AppData\Local\Kometa\Application\kometa.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_185.exe');
DeleteFile('C:\Users\папа\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\папа\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\папа\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Program Files (x86)\ver1BlockAndSurf\191.dll','32');
DeleteFile('C:\Program Files (x86)\ver1BlockAndSurf\J4BlockAndSurfJ52.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV31.03\d2d768f4-b84e-4f3c-82dd-5c7c8539726f-10.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-3.2cV31.03\d2d768f4-b84e-4f3c-82dd-5c7c8539726f-5.exe','32');
DeleteFile('C:\Program Files (x86)\advPlugin\FAsYeudmN8.exe','32');
DeleteFile('C:\WINDOWS\Tasks\Update Service for advPlugin2.job','64');
DeleteFile('C:\WINDOWS\Tasks\Update Service for advPlugin.job','64');
DeleteFile('C:\WINDOWS\Tasks\NJZYDR.job','64');
DeleteFile('C:\WINDOWS\Tasks\d2d768f4-b84e-4f3c-82dd-5c7c8539726f-5_user.job','64');
DeleteFile('C:\WINDOWS\Tasks\d2d768f4-b84e-4f3c-82dd-5c7c8539726f-10_user.job','64');
DeleteFile('C:\WINDOWS\Tasks\BlockAndSurf Update.job','64');
DeleteFile('C:\WINDOWS\system32\Tasks\SPBIW_UpdateTask_Time_313735363034343136342d5737325a786c5a3237344541','64');
DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for advPlugin','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for advPlugin2','64');
DeleteFile('C:\WINDOWS\system32\vcl.dll','32');
DeleteFile('C:\WINDOWS\storegidfilter.sys','32');
DeleteFile('C:\Users\папа\appdata\roaming\aspackage\aspackage.exe','32');
DeleteFile('C:\PROGRA~2\YouTube Accelerator\YouTubeAcceleratorService.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(15);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте НОВЫЕ логи ПО ПРАВИЛАМ

Ссылка на комментарий
Поделиться на другие сайты
alytrewq Новичок

alytrewq

Опубликовано
  • Автор
Опубликовано (изменено)

прикрепил логи с программы clearlnk и автологи.

 

вот полностью что передали

 

KLAN-2943788165

191.dll,

aspackage.exe,
d2d768f4-b84e-4f3c-82dd-5c7c8539726f-10.exe,
exe.emorhc.bat,
exe.erolpxei.bat,
exe.resworb.bat,
jsdrv.sys,
skinapp.exe,
storegidfilter.sys,
upgmsd_ru_185.exe,
Wegjeni.dll,
wegjeni.exe,
YouTubeAcceleratorService.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

Bibjolno120.sys,
iaboaxyjfi.exe,
nss3.dll,
ywuafe.exe,
ywudfe.exe,
ywudfeu.dll,
ywuwfe.exe

Файлы нулевой длины.

FAsYeudmN8.exe,
spbihe.js

Вредоносный код в файлах не обнаружен.

vcl.dll - not-a-virus:RiskTool.Win32.Agent.nbm

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

CollectionLog-2015.07.04-23.19.zip

ClearLNK-04.07.2015_23-14.log

Изменено пользователем alytrewq
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

У расширения Adblock в Firefox и Opera какая версия?

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
BootExecute: autocheck autochk * sh4native Sh4Removal
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2419212988-2269044541-2466136142-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91800134_hao_pg
HKU\S-1-5-21-2419212988-2269044541-2466136142-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91800134_hao_pg
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: Popup Currency Calculator - C:\Users\папа\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1B1F6171-E8D6-4F5F-9778-3009CC2748E2} [2015-04-01]
Toolbar: HKU\S-1-5-21-2419212988-2269044541-2466136142-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Homepage: user_pref("browser.startup.homepage","hxxp://2knl.org/?src=hp4&subid1=feb");
FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\npQMExtensionsMozilla.dll [2015-04-09] (Tencent Technology (Shenzhen) Company Limited)
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
OPR Extension: (Quick Searcher) - C:\Users\папа\AppData\Roaming\Opera Software\Opera Stable\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2015-03-31]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\папа\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-12-03]
S3 cedizan; "C:\ProgramData\KaoqSevua\ywuwfe.exe" -cms [X]
S3 cynohise; No ImagePath
S3 EuenoVhju; "C:\ProgramData\KaoqSevua\IaboaXyjfi.exe" -cmd [X]
S3 mitexune; No ImagePath
S3 tebjapdec; "C:\ProgramData\KaoqSevua\ywuafe.exe" /ts2=1 [X]
2015-07-01 21:30 - 2015-07-01 21:30 - 04320054 _____ C:\Users\папа\AppData\Roaming\DFC2FB04DFC2FB04.bmp
2015-07-01 21:30 - 2015-07-01 21:30 - 00000893 _____ C:\Users\папа\Desktop\README9.txt
2015-07-01 21:30 - 2015-07-01 21:30 - 00000893 _____ C:\Users\папа\Desktop\README8.txt
2015-07-01 21:30 - 2015-07-01 21:30 - 00000893 _____ C:\Users\папа\Desktop\README7.txt
2015-07-01 21:30 - 2015-07-01 21:30 - 00000893 _____ C:\Users\папа\Desktop\README6.txt
2015-07-01 21:30 - 2015-07-01 21:30 - 00000893 _____ C:\Users\папа\Desktop\README5.txt
2015-07-01 21:30 - 2015-07-01 21:30 - 00000893 _____ C:\Users\папа\Desktop\README4.txt
2015-07-01 21:30 - 2015-07-01 21:30 - 00000893 _____ C:\Users\папа\Desktop\README3.txt
2015-07-01 21:30 - 2015-07-01 21:30 - 00000893 _____ C:\Users\папа\Desktop\README2.txt
2015-07-01 21:30 - 2015-07-01 21:30 - 00000893 _____ C:\Users\папа\Desktop\README10.txt
2015-07-01 18:38 - 2015-07-01 22:28 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-01 18:38 - 2015-07-01 22:28 - 00000000 __SHD C:\ProgramData\Windows
2015-07-05 14:48 - 2015-04-01 07:23 - 00000000 ____D C:\Program Files (x86)\globalUpdate
2015-07-05 14:48 - 2015-03-31 14:30 - 00000000 ____D C:\Users\папа\AppData\Roaming\Browsers
2015-03-26 22:14 - 2015-03-26 22:14 - 0005542 _____ () C:\Users\папа\AppData\Roaming\NJZYDR
FirewallRules: [{48053240-0AD6-4E7E-8AA0-D30E8BBA2279}] => (Allow) C:\Users\папа\AppData\Local\Kometa\Application\kometa.exe
FirewallRules: [{457E7113-C97E-4489-8C0E-067D40B009DF}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{B83D2736-D935-459F-BC58-E134770380FA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCmgrInstallGuide.exe
FirewallRules: [{37E178C6-AA0B-4B6D-9C35-7C1DDB6EA9CE}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{BECE2FA4-4EF1-4BAD-A9A6-C6A17DF16F5C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCTray.exe
FirewallRules: [{7CE45B7A-B344-4382-9F79-2091D841FE43}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCMgr.exe
FirewallRules: [{53463EC6-34DD-4297-9E60-E086A5F2DD70}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCRTP.exe
FirewallRules: [{19E18B2D-D6D4-4BD9-8A8D-ACFAE40390FE}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMDL.exe
FirewallRules: [{E440C260-51E1-423F-9B87-C0177FFEF3CB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\bugreport.exe
FirewallRules: [{5D351576-FEFF-4EEE-9E6C-E2754F49223C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCFileOpen.exe
FirewallRules: [{F26A031C-A36A-4608-803D-0970924B4923}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCLeakScan.exe
FirewallRules: [{46AFC909-AD7C-41C0-A388-AA259A2E4DB9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPConfig.exe
FirewallRules: [{5B521FA3-0A63-4C9D-90B1-F7DF793FBD41}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCSoftMgr.exe
FirewallRules: [{C106A493-AC67-4004-813D-B95BA5D4FA53}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\QMNetMon\QQPCNetFlow.exe
FirewallRules: [{A91B9D1B-1DA5-4649-89D4-E5406E75E997}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCBTU.exe
FirewallRules: [{04900F55-044C-4399-9C12-3CFF863F5125}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCClinic.exe
FirewallRules: [{BDEBE8F7-318A-4BDB-BF87-E043C29F88D9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCLaunch.exe
FirewallRules: [{E476748C-7296-4048-BDB8-56D20FF78839}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUpdate\QQPCMgrUpdate.exe
FirewallRules: [{80C2A1C0-B90B-4F39-9C38-2FA2F9436280}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCSoftGame.exe
FirewallRules: [{B37CB4A2-E935-4248-A25F-40E8F5D58945}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCSysOptimize.exe
FirewallRules: [{60808C20-AF05-4C1C-B504-4264D860CBD0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCUpdateAVLib.exe
FirewallRules: [{CCFFCC56-3BCD-40CE-848D-DA77FF3D046D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQRepair.exe
FirewallRules: [{93FDD2FD-973E-4A13-8582-426F56E93245}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\Uninst.exe
FirewallRules: [{D2CEAAA5-47FF-448A-9F48-ED56B18F8F96}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCPatch.exe
FirewallRules: [{D51320E4-717D-447F-B8C5-2393E32EC9D5}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TpkUpdate.exe
FirewallRules: [{8FCAD09E-DAE9-4BF0-8BA1-BF3770B6AFDD}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMRouterMgr.exe
FirewallRules: [{426FA8A4-F4EE-49CB-BFD6-35175E417933}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMAccountProtection.exe
FirewallRules: [{AE7CBF5D-2D64-43ED-9B37-2FACA12171A8}] => (Allow) C:\ProgramData\KaoqSevua\ywuafe.EXE
FirewallRules: [{E8A2664D-1BBD-4E02-A284-F1A165E61A4F}] => (Allow) C:\ProgramData\KaoqSevua\ywuafe.EXE
FirewallRules: [{BD11AF41-598C-4341-AA82-A76DC7DEEA71}] => (Allow) C:\ProgramData\KaoqSevua\ywuafe.EXE
FirewallRules: [{6EE0CEFE-0D3D-4A5F-9C93-DCD540B11501}] => (Allow) C:\ProgramData\KaoqSevua\ywuafe.EXE
FirewallRules: [{A2CD4531-43AE-4930-8D69-41E9B3A09BC9}] => (Allow) C:\ProgramData\KaoqSevua\ywuafe.EXE
AlternateDataStreams: C:\ProgramData\Temp:56E2E879
AlternateDataStreams: C:\Users\Все пользователи\Temp:56E2E879
AlternateDataStreams: C:\Users\папа\OneDrive:ms-properties
Task: {F6A9DA86-29D0-4EA0-B11F-A2C404A57A83} - \Inst_Rep No Task File <==== ATTENTION
Task: {6ADE176B-2F0D-4449-B151-36598943D4CD} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
Task: {3DB68076-8B77-4C80-8F32-FA2DDE2CDE42} - \SPBIW_UpdateTask_Time_313735363034343136342d5737325a786c5a3237344541 No Task File <==== ATTENTION
Task: {2D218A41-D9B2-4D62-9E95-2DEA1CB5FEEE} - \Steam_x64-S-2-106-91 No Task File <==== ATTENTION
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

Если после выполнения этого скрипта пропадет доступ в интернет, выполните скрипт в AVZ

 

begin
ExecuteRepair(15); 
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
alytrewq Новичок

alytrewq

Опубликовано
  • Автор
Опубликовано

не браузера, а расширения.

именно расширения

в оперу зашел, под каждым расширением написана версия, под адблоком написано 39.0, больше информации нет, если я чего то не понимаю, подскажите пожалуйста

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...