Радий Логачёв Опубликовано 8 июля, 2015 Опубликовано 8 июля, 2015 (изменено) Здравствуйте, поймал вирус, зашифровались все файлы! на рабочем столе поставилась заставка "Внимание! Все важные файлы на всех дисках были зашифрованы. Подробности вы можете прочитать в файлах readme.txt, которые можно найти на дисках." CollectionLog-2015.07.09-00.38.zip Изменено 8 июля, 2015 пользователем Радий Логачёв
Mark D. Pearlstone Опубликовано 8 июля, 2015 Опубликовано 8 июля, 2015 Порядок оформления запроса о помощи
Радий Логачёв Опубликовано 8 июля, 2015 Автор Опубликовано 8 июля, 2015 Порядок оформления запроса о помощи простите, исправил.
Roman_Five Опубликовано 9 июля, 2015 Опубликовано 9 июля, 2015 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebhelper.exe'); TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebapp.exe'); TerminateProcessByName('c:\program files (x86)\24seven savings\24seven_savings_notification_service.exe'); TerminateProcessByName('c:\program files (x86)\cinemaplus-3.2cv21.04\936023c0-5f54-4371-97a0-5398219cf5ab-10.exe'); TerminateProcessByName('c:\program files (x86)\cinemaplus-3.2cv21.04\936023c0-5f54-4371-97a0-5398219cf5ab-1-6.exe'); SetServiceStart('TS888x64', 4); SetServiceStart('SPDRIVER_1.42.0.1779', 4); SetServiceStart('QMUdisk', 4); StopService('AdBlockerService'); QuarantineFile('c:\program files (x86)\kingsoft\kingsoft antivirus\uni0nst.exe',''); QuarantineFile('C:\Users\user\AppData\Roaming\luckysearches\*',''); QuarantineFile('C:\PROGRA~2\YOUTUB~1*',''); QuarantineFile('C:\Program Files (x86)\ShopperPro\*',''); QuarantineFile('C:\Program Files (x86)\SensePlus\*',''); QuarantineFile('C:\Program Files (x86)\iWebar\*',''); QuarantineFile('C:\Program Files (x86)\AnyProtectEx\*',''); QuarantineFile('C:\Program Files (x86)\24Seven savings\*',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Program Files (x86)\AdBlocker\*',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\Smb_driver_Intel.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\innfd_1_10_0_13.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys',''); QuarantineFile('C:\WINDOWS\system32\CCL.dll',''); QuarantineFile('C:\Users\user\AppData\Local\SmartWeb\*',''); QuarantineFile('c:\program files (x86)\cinemaplus-3.2cv21.04\*',''); DeleteFileMask('c:\program files (x86)\cinemaplus-3.2cv21.04\','*', true, ''); DeleteDirectory('c:\program files (x86)\cinemaplus-3.2cv21.04\ ',' '); DeleteFileMask('C:\Program Files (x86)\Tencent\','*', true, ''); DeleteDirectory('C:\Program Files (x86)\Tencent\ ',' '); DeleteFileMask('C:\Program Files (x86)\ShopperPro\','*', true, ''); DeleteDirectory('C:\Program Files (x86)\ShopperPro\ ',' '); DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.resworb.bat','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\WINDOWS\Tasks\24seven_savings_notification_service.job','64'); DeleteFileMask('C:\Program Files (x86)\24Seven savings\','*', true, ''); DeleteDirectory('C:\Program Files (x86)\24Seven savings\ ',' '); DeleteFile('C:\WINDOWS\Tasks\24seven_savings_updating_service.job','64'); DeleteFile('C:\WINDOWS\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-1-6.job','64'); DeleteFile('C:\WINDOWS\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-10_user.job','64'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64'); DeleteFileMask('C:\Program Files (x86)\AnyProtectEx\','*', true, ''); DeleteDirectory('C:\Program Files (x86)\AnyProtectEx\ ',' '); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-6.job','64'); DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-7.job','64'); DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5.job','64'); DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5_user.job','64'); DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-6.job','64'); DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-7.job','64'); DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5.job','64'); DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5_user.job','64'); DeleteFileMask('C:\Program Files (x86)\iWebar\','*', true, ''); DeleteDirectory('C:\Program Files (x86)\iWebar\ ',' '); DeleteFile('C:\WINDOWS\system32\Tasks\24seven_savings_notification_service','64'); DeleteFile('C:\WINDOWS\system32\Tasks\24seven_savings_updating_service','64'); DeleteFile('C:\WINDOWS\system32\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-1-6','64'); DeleteFile('C:\WINDOWS\system32\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-10_user','64'); DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-6','64'); DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-7','64'); DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-11','64'); DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5','64'); DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5_user','64'); DeleteFileMask('C:\Program Files (x86)\SensePlus\','*', true, ''); DeleteDirectory('C:\Program Files (x86)\SensePlus\',' '); DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-6','64'); DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-7','64'); DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-11','64'); DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5','64'); DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5_user','64'); DeleteFile('C:\WINDOWS\system32\Tasks\ShopperPro','64'); DeleteFileMask('C:\Program Files (x86)\ShopperPro\','*', true, ''); DeleteDirectory('C:\Program Files (x86)\ShopperPro\',' '); DeleteFile('C:\WINDOWS\system32\Tasks\ShopperProJSUpd','64'); DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\WINDOWS\system32\Tasks\YTAUpdate','64'); DeleteFile('C:\WINDOWS\system32\Tasks\YTAUpdate_logon','64'); DeleteFile('C:\WINDOWS\system32\Tasks\SPDriver','64'); DeleteFileMask('C:\PROGRA~2\YOUTUB~1\','*', true, ''); DeleteDirectory('C:\PROGRA~2\YOUTUB~1\',' '); DeleteFile('C:\WINDOWS\system32\Tasks\{17BF5D82-C054-48AD-83C6-A098FA086CA2}','64'); DeleteFileMask('C:\Users\user\AppData\Roaming\luckysearches\','*', true, ''); DeleteDirectory('C:\Users\user\AppData\Roaming\luckysearches\ ',' '); DeleteFile('C:\WINDOWS\system32\Tasks\{E3536241-02A2-4379-B32D-B2A5ED23FF8C}','64'); DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\uni0nst.exe','32'); DeleteFileMask('c:\program files (x86)\adblocker\','*', true, ''); DeleteDirectory('c:\program files (x86)\adblocker\ ',' '); DeleteFileMask('C:\Users\user\appdata\local\smartweb\','*', true, ''); DeleteDirectory('C:\Users\user\appdata\local\smartweb\ ',' '); DeleteFile('C:\WINDOWS\system32\ccl.dll','32'); DelBHO('0633EE93-D776-472f-A0FF-E1416B8B2E3D'); DelBHO('FCE3FA8B-BA81-467C-81D8-E43C00D1BC71'); DelCLSID('754DF2CE-51E8-4895-B53C-6381418B84AE'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb'); DeleteService('TS888x64'); DeleteService('SPDRIVER_1.42.0.1779'); DeleteService('QMUdisk'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text= R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O2 - BHO: YTAHelperBHO - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - (no file) O4 - HKLM\..\Run: [SmartWeb] C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe O4 - Startup: SmartWeb.lnk = C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text= Сделайте новые логи по правилам (только пункт 2). + логи MBAM и ADwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти