ZOVVV Опубликовано 15 июля, 2015 Share Опубликовано 15 июля, 2015 Здраствуйте! На компе зашифровано все, описание в прикрепленном файле readme9., лог тоже прикрепляю.можно ли все расшифровать? CollectionLog-2015.07.15-15.24.zip README9.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 15 июля, 2015 Share Опубликовано 15 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Алексей.Алексей-ПК\appdata\everything\serviceeverything.exe',''); QuarantineFile('C:\Users\Алексей.Алексей-ПК\appdata\everything\sfkex64.exe',''); QuarantineFile('C:\Users\3444~1.-\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\3444~1.-\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\3444~1.-\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\3444~1.-\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll',''); QuarantineFile('C:\Users\Алексей.Алексей-ПК\AppData\Local\pricehorse\pricehorse\1.3.17.0\pricehorse.exe',''); DeleteFile('C:\Users\Алексей.Алексей-ПК\AppData\Local\pricehorse\pricehorse\1.3.17.0\pricehorse.exe','32'); DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Users\3444~1.-\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\3444~1.-\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\3444~1.-\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\3444~1.-\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64'); DeleteFile('C:\Windows\Tasks\DigitalSite.job','64'); DeleteFile('C:\Windows\Tasks\Digital Sites.job','64'); DeleteFile('C:\Windows\Tasks\Dealply.job','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\DealPly','64'); DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64'); DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64'); DeleteFile('C:\Windows\system32\Tasks\DSite','64'); DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','64'); DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','64'); DeleteFile('C:\Windows\system32\Tasks\Price-Horse','64'); DeleteFile('C:\Windows\system32\Tasks\Price-Horse Updater','64'); DeleteFile('C:\Users\Алексей\AppData\Roaming\WebaltaService\WebaltaService.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{3C26A706-6160-48DD-8B40-F329E2B907B6}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
ZOVVV Опубликовано 15 июля, 2015 Автор Share Опубликовано 15 июля, 2015 файл карантина [KLAN-2973287212]новый лог прилагаю вот ответ Re: фал карантина [KLAN-2973287212]Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. serviceeverything.exe - not-a-virus:AdWare.Win32.ELEX.agsfkex64.exe - not-a-virus:AdWare.Win64.Agent.ayЭто файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdatesС уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. serviceeverything.exe - not-a-virus:AdWare.Win32.ELEX.agsfkex64.exe - not-a-virus:AdWare.Win64.Agent.ayThese files are Advertizing Tools, theirs detection will be included in the next update of extended databases set. See more info about extended databases here: http://www.kaspersky.com/extraavupdatesBest Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" CollectionLog-2015.07.15-17.48.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 15 июля, 2015 Share Опубликовано 15 июля, 2015 Сделайте лог полного сканирования МВАМ Ссылка на комментарий Поделиться на другие сайты More sharing options...
ZOVVV Опубликовано 16 июля, 2015 Автор Share Опубликовано 16 июля, 2015 Здраствуйте! посылаю полученный лог log.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 июля, 2015 Share Опубликовано 16 июля, 2015 Удалите в МВАМ все найденное Ссылка на комментарий Поделиться на другие сайты More sharing options...
ZOVVV Опубликовано 16 июля, 2015 Автор Share Опубликовано 16 июля, 2015 Удалила все, что дальше? Ссылка на комментарий Поделиться на другие сайты More sharing options...
ZOVVV Опубликовано 16 июля, 2015 Автор Share Опубликовано 16 июля, 2015 Лог после удаления всех угроз log1.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 16 июля, 2015 Share Опубликовано 16 июля, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
ZOVVV Опубликовано 17 июля, 2015 Автор Share Опубликовано 17 июля, 2015 Здраствуйте прикрепляю полученные файлы addition frst Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 17 июля, 2015 Share Опубликовано 17 июля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Task: {0A7ADB56-6043-4285-87D8-B7249A4C0257} - \{3C26A706-6160-48DD-8B40-F329E2B907B6} No Task File <==== ATTENTION Task: {168FACE6-0C15-47B5-B039-3A42BEDFC9B9} - \APSnotifierPP2 No Task File <==== ATTENTION Task: {1B19C431-CF97-4BC8-9C19-E0B943772349} - \Price-Horse No Task File <==== ATTENTION Task: {242FBD91-03D9-4B17-9057-26D81F40857F} - \MetaCrawler No Task File <==== ATTENTION Task: {5654B5C9-A4AA-4376-AE55-99C63380F79A} - \Price-Horse Updater No Task File <==== ATTENTION Task: {7480F60C-8738-42EA-BBED-03023C7E9AEF} - \DigitalSite No Task File <==== ATTENTION Task: {A238A588-BA94-4A54-8576-57032AF3A12A} - \APSnotifierPP3 No Task File <==== ATTENTION Task: {BDCD4A04-F5B5-47D7-9445-20861448CF5F} - \Digital Sites No Task File <==== ATTENTION Task: {CB037CE3-30F2-4AE4-8A10-25E7EBFCEF43} - \DealPly No Task File <==== ATTENTION Task: {DD9C5FCD-5B9B-4A07-B3D6-EE1078EB0985} - \DSite No Task File <==== ATTENTION Task: {DF384A2A-9BD1-4929-8FAC-DFF4925B29C9} - \LaunchSignup No Task File <==== ATTENTION Task: {EF0571AF-CFFA-44DE-9436-CDBBFCE22B67} - \ASP No Task File <==== ATTENTION Task: {F8AC732C-C9DF-4128-ACB3-7216F257477C} - \APSnotifierPP1 No Task File <==== ATTENTION AlternateDataStreams: C:\Users\Алексей.Алексей-ПК\Local Settings:wa AlternateDataStreams: C:\Users\Алексей.Алексей-ПК\AppData\Local:wa AlternateDataStreams: C:\Users\Алексей.Алексей-ПК\AppData\Local\Application Data:wa GroupPolicy: Group Policy on Chrome detected <======= ATTENTION GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=ironmc2&cd=2XzuyEtN2Y1L1QzutDtDtC0Ezz0CyB0FtC0B0EzztCtB0FyDtN0D0Tzu0CyCtAtCtN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu&cr=1516448744&ir= SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> 39789FA8E732704BC79A63A61956A244 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> 412758B2DB1F2D0ED31093FBB9A46A1D URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> 4AF9B7B6847C70AD1B0392AEA255B183 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> 648587B9744EAEEE6F9E7BC753D56285 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> 67508114C94565B9C1603258ABBFE24E URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> 7BC1FC9FE0D20F0EC20E8079D419F296 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> ECCE93F90D643F6AA4620B71CA38667C URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> Moikrug URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> Yandex URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> yandex.ru-141846 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> yandex.ru-194003 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> yandex.ru-205709 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKLM-x32 - No Name - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - No File Toolbar: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-4191854172-1370097678-3676550705-1002 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF DefaultSearchEngine: delta-homes FF SearchEngineOrder.1: Ask.com FF SelectedSearchEngine: delta-homes FF Extension: WebAlta - C:\Users\Алексей.Алексей-ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi [2012-04-07] FF Extension: Everysale.Net - C:\Users\Алексей.Алексей-ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{4d31e4c9-ce86-4b0f-8ffb-56345a8b5f6c}.xpi [2014-07-28] FF Extension: Desktopy - C:\Users\Алексей.Алексей-ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97}.xpi [2013-11-03] 2015-07-08 20:47 - 2015-07-08 20:47 - 05292054 _____ C:\Users\Алексей.Алексей-ПК\AppData\Roaming\55D9D0B855D9D0B8.bmp 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README9.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README8.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README7.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README6.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README5.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README4.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README3.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README2.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README10.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Алексей.Алексей-ПК\Desktop\README1.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README9.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README8.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README7.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README6.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README5.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README4.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README3.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README2.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README10.txt 2015-07-08 20:47 - 2015-07-08 20:47 - 00000893 _____ C:\Users\Public\Desktop\README1.txt 2015-07-08 20:13 - 2015-07-14 17:04 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-07-08 20:13 - 2015-07-14 17:04 - 00000000 __SHD C:\ProgramData\Windows 2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README9.txt 2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README8.txt 2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README7.txt 2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README6.txt 2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README5.txt 2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README4.txt 2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README3.txt 2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README2.txt 2015-07-08 20:13 - 2015-07-08 20:13 - 00000893 _____ C:\README10.txt 2015-06-23 21:37 - 2015-02-05 02:27 - 00000000 ____D C:\Program Files (x86)\XTab C:\Users\Алексей.Алексей-ПК\AppData\Local\Temp\nBIX76qG5Zp6.exe C:\Users\Алексей.Алексей-ПК\AppData\Local\Temp\PGtTgVnbWhoQ.exe Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
ZOVVV Опубликовано 17 июля, 2015 Автор Share Опубликовано 17 июля, 2015 посылаю fixlog Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 17 июля, 2015 Share Опубликовано 17 июля, 2015 Папки C:\Users\Алексей.Алексей-ПК\AppData\Roaming\Systweak C:\Users\Алексей.Алексей-ПК\AppData\Roaming\DigitalSites C:\Users\Алексей.Алексей-ПК\AppData\Roaming\DigitalSite C:\Users\Алексей.Алексей-ПК\AppData\Roaming\DSite удалите вручную. С расшифровкой не поможем Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти