ekatzerina Опубликовано 16 июля, 2015 Share Опубликовано 16 июля, 2015 Добрый день! На ноутбуке установлен Вин 7, поймала вирус - черный экран, надпись "внимание! все важные файлы на всех дисках вашего компьютера зашифрованы....." Все файлы зашифрованы, в почтовой программе все файлы в нормальном виде (вложения). Антивирусы не видят.... Заранее спасибо! CollectionLog-2015.07.16-15.52.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 июля, 2015 Share Опубликовано 16 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Екатерина\AppData\Roaming\A0640510-1430851329-DF11-928F-C959ED14AE96\jnssDBC1.tmp',''); QuarantineFile('C:\Windows\system32\Bylekh.dll',''); QuarantineFile('C:\Users\Екатерина\AppData\Local\SmartWeb\SmartWebHelper.exe',''); QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe',''); QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe',''); QuarantineFile('c:\programdata\{adb8c132-0181-cc52-adb8-8c13201804c8}\download.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-5.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-11.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-10.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-6.exe',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Windows\Sys\taskmgr.vbs',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\cpuminer\sgminer\sgminer.cmd',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\Browsers\exe.resworb.bat',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); DeleteService('BDMNetMon'); DeleteService('BDEnhanceBoost'); DeleteService('BAPIDRV'); QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys',''); DeleteService('innfd_1_10_0_14'); DeleteService('BDMRTP'); DeleteService('BDKVRTP'); QuarantineFile('C:\ProgramData\adblocker\1.1.0.31\Bylekh.exe',''); DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\BaiduAnSvc.exe','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\Browsers\exe.resworb.bat','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32'); DeleteFile('C:\Windows\Sys\taskmgr.vbs','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Program','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gpuminer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command'); DeleteFile('C:\Users\Екатерина\AppData\Local\Kometa\kometaup.exe','32'); DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader','command'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-6.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-7.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-10.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-10_user.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-11.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-11.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5_user.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-5.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[973b].job','64'); DeleteFile('c:\programdata\{adb8c132-0181-cc52-adb8-8c13201804c8}\download.exe','32'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Maintenance.job','64'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Startup.job','64'); DeleteFile('C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe','32'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Subscription.job','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-11','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[973b]','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Maintenance','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Startup','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Subscription','64'); DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','64'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32'); DeleteFile('C:\Users\Екатерина\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteFile('C:\Windows\system32\Bylekh.dll','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\A0640510-1430851329-DF11-928F-C959ED14AE96\jnssDBC1.tmp','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
ekatzerina Опубликовано 16 июля, 2015 Автор Share Опубликовано 16 июля, 2015 Выполнила скрипты, но возникли проблемы: 1. ни один браузер не запустился (существующие ярлыки для запуска браузеров выдавали ошибку) 2. сформировавшийся архив был пуст. откатила систему на 13.07 (после этой даты чистила ноутбук). Сделать новую выгрузку логов? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 июля, 2015 Share Опубликовано 16 июля, 2015 Конечно. Что ж поделать, если Вы не дошли до папки с браузером и не запустили его таким способом Ссылка на комментарий Поделиться на другие сайты More sharing options...
ekatzerina Опубликовано 17 июля, 2015 Автор Share Опубликовано 17 июля, 2015 Конечно. Что ж поделать, если Вы не дошли до папки с браузером и не запустили его таким способом я дошла конечно, запустился IE, но страницы не грузились Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 17 июля, 2015 Share Опубликовано 17 июля, 2015 Что сейчас с проблемой? Ссылка на комментарий Поделиться на другие сайты More sharing options...
ekatzerina Опубликовано 17 июля, 2015 Автор Share Опубликовано 17 июля, 2015 Что сейчас с проблемой? Добрый вечер! прикрепляю новые логи CollectionLog-2015.07.17-23.03.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 17 июля, 2015 Share Опубликовано 17 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Екатерина\appdata\local\smartweb\__u.exe',''); QuarantineFile('C:\Users\Екатерина\appdata\roaming\oursurfing\uninstallmanager.exe',''); QuarantineFile('C:\Users\Екатерина\appdata\roaming\mystartsearch\uninstallmanager.exe',''); QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe',''); QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe',''); QuarantineFile('c:\programdata\{adb8c132-0181-cc52-adb8-8c13201804c8}\download.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-5.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-11.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-10.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-6.exe',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\cpuminer\sgminer\sgminer.cmd',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif',''); QuarantineFile('C:\Users\Екатерина\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Users\Екатерина\AppData\Local\SmartWeb\SmartWebHelper.exe',''); QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe',''); QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys',''); DeleteService('innfd_1_10_0_14'); DeleteService('BDMNetMon'); QuarantineFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys',''); QuarantineFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys',''); DeleteService('BDEnhanceBoost'); DeleteService('BDMRTP'); DeleteService('BDKVRTP'); SetServiceStart('Bylekh', 4); DeleteService('Bylekh'); QuarantineFile('C:\ProgramData\adblocker\1.1.0.31\Bylekh.exe',''); QuarantineFile('C:\Windows\system32\Bylekh.dll',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('C:\Windows\system32\Bylekh.dll','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\BaiduAnSvc.exe','32'); DeleteFile('C:\ProgramData\adblocker\1.1.0.31\Bylekh.exe','32'); DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Екатерина\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteFile('C:\Users\Екатерина\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-6.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-7.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-10.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-10_user.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-11.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-11.exe','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-5.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5_user.job','64'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('c:\programdata\{adb8c132-0181-cc52-adb8-8c13201804c8}\download.exe','32'); DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[973b].job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Maintenance.job','64'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Subscription.job','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-11','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[973b]','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Maintenance','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Startup','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Subscription','64'); DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','64'); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Users\Екатерина\appdata\roaming\mystartsearch\uninstallmanager.exe','32'); DeleteFile('C:\Users\Екатерина\appdata\roaming\oursurfing\uninstallmanager.exe','32'); DeleteFile('C:\Users\Екатерина\appdata\local\smartweb\__u.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(15); RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
ekatzerina Опубликовано 17 июля, 2015 Автор Share Опубликовано 17 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Екатерина\appdata\local\smartweb\__u.exe',''); QuarantineFile('C:\Users\Екатерина\appdata\roaming\oursurfing\uninstallmanager.exe',''); QuarantineFile('C:\Users\Екатерина\appdata\roaming\mystartsearch\uninstallmanager.exe',''); QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe',''); QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe',''); QuarantineFile('c:\programdata\{adb8c132-0181-cc52-adb8-8c13201804c8}\download.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-5.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-11.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-10.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-6.exe',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\cpuminer\sgminer\sgminer.cmd',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif',''); QuarantineFile('C:\Users\Екатерина\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Users\Екатерина\AppData\Local\SmartWeb\SmartWebHelper.exe',''); QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe',''); QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys',''); DeleteService('innfd_1_10_0_14'); DeleteService('BDMNetMon'); QuarantineFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys',''); QuarantineFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys',''); DeleteService('BDEnhanceBoost'); DeleteService('BDMRTP'); DeleteService('BDKVRTP'); SetServiceStart('Bylekh', 4); DeleteService('Bylekh'); QuarantineFile('C:\ProgramData\adblocker\1.1.0.31\Bylekh.exe',''); QuarantineFile('C:\Windows\system32\Bylekh.dll',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('C:\Windows\system32\Bylekh.dll','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\BaiduAnSvc.exe','32'); DeleteFile('C:\ProgramData\adblocker\1.1.0.31\Bylekh.exe','32'); DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Екатерина\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteFile('C:\Users\Екатерина\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-6.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-7.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-10.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-10_user.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-11.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-11.exe','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-5.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5_user.job','64'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('c:\programdata\{adb8c132-0181-cc52-adb8-8c13201804c8}\download.exe','32'); DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[973b].job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Maintenance.job','64'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Subscription.job','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-11','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[973b]','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Maintenance','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Startup','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Subscription','64'); DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','64'); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Users\Екатерина\appdata\roaming\mystartsearch\uninstallmanager.exe','32'); DeleteFile('C:\Users\Екатерина\appdata\roaming\oursurfing\uninstallmanager.exe','32'); DeleteFile('C:\Users\Екатерина\appdata\local\smartweb\__u.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(15); RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи все сделала, все прошло без ошибок, прикрепила новые логи Ответ KLAN-2980075351 Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. __u.exe - not-a-virus:AdWare.Win32.PriceGong.a uninstallmanager.exe, uninstallmanager_0.exe - not-a-virus:AdWare.Win32.ELEX.bf Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates browser.bat Bylekh.dll, Bylekh.exe download.exe Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию. csrss.exe, system.pif - Trojan.Win32.Fsysna.cdfw Детектирование файлов будет добавлено в следующее обновление. sgminer.cmd Вредоносный код в файле не обнаружен. С уважением, Лаборатория Касперского CollectionLog-2015.07.17-23.45.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
ekatzerina Опубликовано 18 июля, 2015 Автор Share Опубликовано 18 июля, 2015 Еще пришло письмо KLAN-2980075351 Hello,New malicious software was found in the attached file. Its detection will be included in the next update. csrss.exe,system.pif - Trojan.Win32.Fsysna.cdfwThis file is "Porn/Advertising Tool" or a potentially risk program. New detection was added.__u.exe - not-a-virus: AdWare.Win32.PriceGong.auninstallmanager.exe,uninstallmanager_0.exe - not-a-virus: AdWare.Win32.ELEX.bfbrowser.bat not-a-virus:AdWare.BAT.Clicker.afBylekh.dll not-a-virus:AdWare.Win32.OptimizerMonitor.heurBylekh.exe not-a-virus:AdWare.Win32.Agent.izxgdownload.exe not-a-virus:AdWare.Win32.MultiPlug.ofdzThank you for your help. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 18 июля, 2015 Share Опубликовано 18 июля, 2015 Новые логи где? Ссылка на комментарий Поделиться на другие сайты More sharing options...
ekatzerina Опубликовано 18 июля, 2015 Автор Share Опубликовано 18 июля, 2015 Новые логи где? прикреплены в 9-м сообщении дублирую CollectionLog-2015.07.17-23.45.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 18 июля, 2015 Share Опубликовано 18 июля, 2015 Сделайте лог полного сканирования МВАМ Ссылка на комментарий Поделиться на другие сайты More sharing options...
ekatzerina Опубликовано 18 июля, 2015 Автор Share Опубликовано 18 июля, 2015 Сделайте лог полного сканирования МВАМ Сделала, не знаю в таком формате подойдет, если нет - переделаю. прилагаю Отчет MBAM 18.07-2.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 18 июля, 2015 Share Опубликовано 18 июля, 2015 Удалите в МВАМ все найденное Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти