Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Не могу открыть файлы с фотографиями и документами

mea
 Поделиться

Рекомендуемые сообщения

Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt', 4);
 SetServiceStart('{6e9af5d3-a8f9-4461-ad38-1433888f55dc}t', 4);
 SetServiceStart('{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gt', 4);
 SetServiceStart('{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gt', 4);
 SetServiceStart('{5c281c6e-0132-4ac6-ad9d-d1d95d218412}t', 4);
 SetServiceStart('{4cff408a-d9e7-47c3-a711-95133fcf7f45}t', 4);
 SetServiceStart('TSSYSKIT', 4);
 SetServiceStart('TSSK', 4);
 SetServiceStart('TSDEFENSEBT', 4);
 SetServiceStart('TS888', 4);
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('QQPCRTP', 4);
 QuarantineFile('C:\windows\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys','');
 QuarantineFile('C:\windows\system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gt.sys','');
 QuarantineFile('C:\windows\system32\drivers\{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gt.sys','');
 QuarantineFile('C:\windows\system32\drivers\{5c281c6e-0132-4ac6-ad9d-d1d95d218412}t.sys','');
 QuarantineFile('C:\windows\system32\tssk.sys','');
 QuarantineFile('C:\windows\system32\drivers\{4cff408a-d9e7-47c3-a711-95133fcf7f45}t.sys','');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQPCRtp.exe','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\TS888.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\TSDefenseBt.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\TSSysKit.sys','32');
 DeleteFile('C:\windows\system32\tssk.sys','32');
 DeleteFile('C:\windows\system32\drivers\{4cff408a-d9e7-47c3-a711-95133fcf7f45}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{5c281c6e-0132-4ac6-ad9d-d1d95d218412}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gt.sys','32');
 DeleteFile('C:\windows\system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gt.sys','32');
 DeleteFile('C:\windows\system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys','32');
 DelCLSID('63332668-8CE1-445D-A5EE-25929176714E');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','{B3D1263D-F41D-45BE-A89B-9F0EC795DF26}');
 DeleteService('{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt');
 DeleteService('{6e9af5d3-a8f9-4461-ad38-1433888f55dc}t');
 DeleteService('{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gt');
 DeleteService('{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gt');
 DeleteService('{5c281c6e-0132-4ac6-ad9d-d1d95d218412}t');
 DeleteService('{4cff408a-d9e7-47c3-a711-95133fcf7f45}t');
 DeleteService('TSSYSKIT');
 DeleteService('TSSK');
 DeleteService('TSDEFENSEBT');
 DeleteService('TS888');
 DeleteService('QMUdisk');
 DeleteService('QQPCRTP');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 2).
+ логи FRST
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты
mea Новичок

mea

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

tssk.sys

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

 

 

CollectionLog-2015.07.05-19.00.zip

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-746137067-1078081533-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=unchie
HKU\S-1-5-21-746137067-1078081533-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b0df916a7c916ea4b0cb54dfa105ac9a&text={searchTerms}
HKU\S-1-5-21-746137067-1078081533-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b0df916a7c916ea4b0cb54dfa105ac9a&text={searchTerms}
SearchScopes: HKU\S-1-5-21-746137067-1078081533-1417001333-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b0df916a7c916ea4b0cb54dfa105ac9a&text={searchTerms}
SearchScopes: HKU\S-1-5-21-746137067-1078081533-1417001333-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b0df916a7c916ea4b0cb54dfa105ac9a&text={searchTerms}
SearchScopes: HKU\S-1-5-21-746137067-1078081533-1417001333-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b0df916a7c916ea4b0cb54dfa105ac9a&text=
SearchScopes: HKU\S-1-5-21-746137067-1078081533-1417001333-1003 -> {C286C5DF-E31B-4B17-A4AB-37D76D8CBD7B} URL = http://q.search-simple.com/?affID=na&q={searchTerms}
S1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QMUdisk.sys [X]
S3 TS888; \??\C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\TS888.sys [X]
S1 TSDEFENSEBT; system32\DRIVERS\TSDefenseBt.sys [X]
S1 TSKSP; \??\C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\TSKsp.sys [X]
S3 TSSK; System32\tssk.sys [X]
S1 TSSYSKIT; \??\C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\TSSysKit.sys [X]
S1 {4cff408a-d9e7-47c3-a711-95133fcf7f45}t; system32\drivers\{4cff408a-d9e7-47c3-a711-95133fcf7f45}t.sys [X]
S1 {5c281c6e-0132-4ac6-ad9d-d1d95d218412}t; system32\drivers\{5c281c6e-0132-4ac6-ad9d-d1d95d218412}t.sys [X]
S1 {693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gt; system32\drivers\{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gt.sys [X]
S1 {6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gt; system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gt.sys [X]
S1 {6e9af5d3-a8f9-4461-ad38-1433888f55dc}t; system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}t.sys [X]
S1 {76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt; system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys [X]
S1 {8d9c9462-4635-4cc0-ab2c-0e46af3a958b}Gt; system32\drivers\{8d9c9462-4635-4cc0-ab2c-0e46af3a958b}Gt.sys [X]
2015-07-05 12:04 - 2015-07-05 12:05 - 00000000 ____D C:\Documents and Settings\Елена\Application Data\shoujizhushou
2015-07-05 12:04 - 2015-07-05 12:05 - 00000000 ____D C:\Documents and Settings\Елена\Application Data\Kingsoft
2015-07-05 12:04 - 2015-07-05 12:04 - 00000000 ____D C:\Documents and Settings\Елена\Application Data\yspkg5eua0il
2015-07-05 12:04 - 2015-07-05 12:04 - 00000000 ____D C:\Documents and Settings\Елена\Application Data\sjparinfo
2015-07-05 10:05 - 2015-07-05 10:05 - 02986038 _____ C:\Documents and Settings\Елена\Application Data\03CBE44903CBE449.bmp
C:\Documents and Settings\007\Local Settings\Temp\21580.exe
C:\Documents and Settings\007\Local Settings\Temp\6757628.exe
DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QMAccountProtection.exe] => Enabled:????-???
DomainProfile\AuthorizedApplications: [c:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe] => Enabled:????????Crash??
DomainProfile\AuthorizedApplications: [c:\program files\common files\tencent\qqdownload\130\tencentdl.exe] => Enabled:????????
DomainProfile\AuthorizedApplications: [C:\Documents and Settings\Елена\Local Settings\Temp\TENCENTDOWNLOAD.EXE] => Enabled:???????
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей рнд
      скачал и открыл файл, зашифровались данные
      Автор Сергей рнд
      Добрый день, нужна помощь в расшифровке ,прислали счет на оплату, я даже не понял от кого и естественно открыл,после чего зашифровалось все что было на компе,а на экране вылетело сообщение об оплате,откатывал систему не помогло,сбил виндовс и дальше продолжил работу,однако хотелось бы востановить клиентскую базу)вложу архив с запиской вымогателя,так же могу прикрепиShortcut.txtFRST.txtAddition.txtть почту с которой мне писали.. не понял только как выполнить это действие??вложите в сообщение логи, собранные Farbar Recovery Scan Tool,
      максим.rar
    • dkhilobok
      Весенний набор на стажировку SafeBoard открыт!
      Автор dkhilobok
      Принять участие в программе SafeBoard могут учащиеся вузов Москвы и Московской области любого курса, кроме выпускного.
      В текущем наборе кандидатам доступен выбор из 17 направлений. Среди них: C, C++, Java Script, Python, С#, DevOps, iOS-разработка, исследование вредоносного ПО. При этом можно податься на параллельный отбор сразу в несколько направлений и принять финальное решение в процессе общения с командами.
      Заявки принимаются до 20 апреля на сайте проекта. Стажировка проходит в московской штаб-квартире «Лаборатории Касперского».
      В этом наборе правила изменились: чем быстрее подашь заявку, тем ближе оффер. Всё зависит только от тебя — действуй!

    • Мала
      Не могу понять, что за вредоносное ПО
      Автор Мала
      После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 
      Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
      Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
      Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.
      В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
       
      4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
       
      Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

      Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 
       
    • Zed
      не могу удалить вирусы
      Автор Zed
      здравствуйте, уже 2 день не могу удалить, после перезагрузки ноута они опять появляются, пробовал все, бесполезно, помогите плиз!!!!!!!!
    • Елена9999999
      Вирус-шифровальщик. Возможно ли восстановить документы?
      Автор Елена9999999
      Здравствуйте, 
      На компьютер попал вирус. Теперь все файлы с расширением gxGxvJCWI. Везде требования об их выкупе. Можно ли как-то восстановить файлы? 
×
×
  • Создать...