ekatzerina Опубликовано 16 июля, 2015 Опубликовано 16 июля, 2015 Добрый день! На ноутбуке установлен Вин 7, поймала вирус - черный экран, надпись "внимание! все важные файлы на всех дисках вашего компьютера зашифрованы....." Все файлы зашифрованы, в почтовой программе все файлы в нормальном виде (вложения). Антивирусы не видят.... Заранее спасибо! CollectionLog-2015.07.16-15.52.zip
thyrex Опубликовано 16 июля, 2015 Опубликовано 16 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Екатерина\AppData\Roaming\A0640510-1430851329-DF11-928F-C959ED14AE96\jnssDBC1.tmp',''); QuarantineFile('C:\Windows\system32\Bylekh.dll',''); QuarantineFile('C:\Users\Екатерина\AppData\Local\SmartWeb\SmartWebHelper.exe',''); QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe',''); QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe',''); QuarantineFile('c:\programdata\{adb8c132-0181-cc52-adb8-8c13201804c8}\download.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-5.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-11.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-10.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-6.exe',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Windows\Sys\taskmgr.vbs',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\cpuminer\sgminer\sgminer.cmd',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\Browsers\exe.resworb.bat',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); DeleteService('BDMNetMon'); DeleteService('BDEnhanceBoost'); DeleteService('BAPIDRV'); QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys',''); DeleteService('innfd_1_10_0_14'); DeleteService('BDMRTP'); DeleteService('BDKVRTP'); QuarantineFile('C:\ProgramData\adblocker\1.1.0.31\Bylekh.exe',''); DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\BaiduAnSvc.exe','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\Browsers\exe.resworb.bat','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32'); DeleteFile('C:\Windows\Sys\taskmgr.vbs','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Program','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gpuminer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command'); DeleteFile('C:\Users\Екатерина\AppData\Local\Kometa\kometaup.exe','32'); DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader','command'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-6.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-7.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-10.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-10_user.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-11.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-11.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5_user.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-5.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[973b].job','64'); DeleteFile('c:\programdata\{adb8c132-0181-cc52-adb8-8c13201804c8}\download.exe','32'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Maintenance.job','64'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Startup.job','64'); DeleteFile('C:\Program Files (x86)\Uniblue\PC-Mechanic\pc-mechanic.exe','32'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Subscription.job','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-11','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[973b]','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Maintenance','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Startup','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Subscription','64'); DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','64'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32'); DeleteFile('C:\Users\Екатерина\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteFile('C:\Windows\system32\Bylekh.dll','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\A0640510-1430851329-DF11-928F-C959ED14AE96\jnssDBC1.tmp','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи 1 1
ekatzerina Опубликовано 16 июля, 2015 Автор Опубликовано 16 июля, 2015 Выполнила скрипты, но возникли проблемы: 1. ни один браузер не запустился (существующие ярлыки для запуска браузеров выдавали ошибку) 2. сформировавшийся архив был пуст. откатила систему на 13.07 (после этой даты чистила ноутбук). Сделать новую выгрузку логов?
thyrex Опубликовано 16 июля, 2015 Опубликовано 16 июля, 2015 Конечно. Что ж поделать, если Вы не дошли до папки с браузером и не запустили его таким способом
ekatzerina Опубликовано 17 июля, 2015 Автор Опубликовано 17 июля, 2015 Конечно. Что ж поделать, если Вы не дошли до папки с браузером и не запустили его таким способом я дошла конечно, запустился IE, но страницы не грузились
ekatzerina Опубликовано 17 июля, 2015 Автор Опубликовано 17 июля, 2015 Что сейчас с проблемой? Добрый вечер! прикрепляю новые логи CollectionLog-2015.07.17-23.03.zip
thyrex Опубликовано 17 июля, 2015 Опубликовано 17 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Екатерина\appdata\local\smartweb\__u.exe',''); QuarantineFile('C:\Users\Екатерина\appdata\roaming\oursurfing\uninstallmanager.exe',''); QuarantineFile('C:\Users\Екатерина\appdata\roaming\mystartsearch\uninstallmanager.exe',''); QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe',''); QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe',''); QuarantineFile('c:\programdata\{adb8c132-0181-cc52-adb8-8c13201804c8}\download.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-5.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-11.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-10.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-6.exe',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\cpuminer\sgminer\sgminer.cmd',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif',''); QuarantineFile('C:\Users\Екатерина\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Users\Екатерина\AppData\Local\SmartWeb\SmartWebHelper.exe',''); QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe',''); QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys',''); DeleteService('innfd_1_10_0_14'); DeleteService('BDMNetMon'); QuarantineFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys',''); QuarantineFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys',''); DeleteService('BDEnhanceBoost'); DeleteService('BDMRTP'); DeleteService('BDKVRTP'); SetServiceStart('Bylekh', 4); DeleteService('Bylekh'); QuarantineFile('C:\ProgramData\adblocker\1.1.0.31\Bylekh.exe',''); QuarantineFile('C:\Windows\system32\Bylekh.dll',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('C:\Windows\system32\Bylekh.dll','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\BaiduAnSvc.exe','32'); DeleteFile('C:\ProgramData\adblocker\1.1.0.31\Bylekh.exe','32'); DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Екатерина\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteFile('C:\Users\Екатерина\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-6.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-7.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-10.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-10_user.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-11.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-11.exe','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-5.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5_user.job','64'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('c:\programdata\{adb8c132-0181-cc52-adb8-8c13201804c8}\download.exe','32'); DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[973b].job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Maintenance.job','64'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Subscription.job','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-11','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[973b]','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Maintenance','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Startup','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Subscription','64'); DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','64'); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Users\Екатерина\appdata\roaming\mystartsearch\uninstallmanager.exe','32'); DeleteFile('C:\Users\Екатерина\appdata\roaming\oursurfing\uninstallmanager.exe','32'); DeleteFile('C:\Users\Екатерина\appdata\local\smartweb\__u.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(15); RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
ekatzerina Опубликовано 17 июля, 2015 Автор Опубликовано 17 июля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Екатерина\appdata\local\smartweb\__u.exe',''); QuarantineFile('C:\Users\Екатерина\appdata\roaming\oursurfing\uninstallmanager.exe',''); QuarantineFile('C:\Users\Екатерина\appdata\roaming\mystartsearch\uninstallmanager.exe',''); QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe',''); QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe',''); QuarantineFile('c:\programdata\{adb8c132-0181-cc52-adb8-8c13201804c8}\download.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-5.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-11.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-10.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-6.exe',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\cpuminer\sgminer\sgminer.cmd',''); QuarantineFile('C:\Users\Екатерина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif',''); QuarantineFile('C:\Users\Екатерина\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Users\Екатерина\AppData\Local\SmartWeb\SmartWebHelper.exe',''); QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe',''); QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys',''); DeleteService('innfd_1_10_0_14'); DeleteService('BDMNetMon'); QuarantineFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys',''); QuarantineFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys',''); DeleteService('BDEnhanceBoost'); DeleteService('BDMRTP'); DeleteService('BDKVRTP'); SetServiceStart('Bylekh', 4); DeleteService('Bylekh'); QuarantineFile('C:\ProgramData\adblocker\1.1.0.31\Bylekh.exe',''); QuarantineFile('C:\Windows\system32\Bylekh.dll',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('C:\Windows\system32\Bylekh.dll','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\BaiduAnSvc.exe','32'); DeleteFile('C:\ProgramData\adblocker\1.1.0.31\Bylekh.exe','32'); DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Екатерина\AppData\Local\SmartWeb\SmartWebHelper.exe','32'); DeleteFile('C:\Users\Екатерина\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif','32'); DeleteFile('C:\Users\Екатерина\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-6.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-7.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-10.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-10_user.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-11.job','64'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-11.exe','32'); DeleteFile('C:\Program Files (x86)\SavePass 1.1\95396268-041c-4ef8-8580-b2cae036826c-5.exe','32'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5.job','64'); DeleteFile('C:\Windows\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5_user.job','64'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('c:\programdata\{adb8c132-0181-cc52-adb8-8c13201804c8}\download.exe','32'); DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[973b].job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Maintenance.job','64'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Subscription.job','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-11','64'); DeleteFile('C:\Windows\system32\Tasks\95396268-041c-4ef8-8580-b2cae036826c-5','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[973b]','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Maintenance','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Startup','64'); DeleteFile('C:\Windows\system32\Tasks\PC-Mechanic Subscription','64'); DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','64'); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Users\Екатерина\appdata\roaming\mystartsearch\uninstallmanager.exe','32'); DeleteFile('C:\Users\Екатерина\appdata\roaming\oursurfing\uninstallmanager.exe','32'); DeleteFile('C:\Users\Екатерина\appdata\local\smartweb\__u.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(15); RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи все сделала, все прошло без ошибок, прикрепила новые логи Ответ KLAN-2980075351 Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. __u.exe - not-a-virus:AdWare.Win32.PriceGong.a uninstallmanager.exe, uninstallmanager_0.exe - not-a-virus:AdWare.Win32.ELEX.bf Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates browser.bat Bylekh.dll, Bylekh.exe download.exe Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию. csrss.exe, system.pif - Trojan.Win32.Fsysna.cdfw Детектирование файлов будет добавлено в следующее обновление. sgminer.cmd Вредоносный код в файле не обнаружен. С уважением, Лаборатория Касперского CollectionLog-2015.07.17-23.45.zip
ekatzerina Опубликовано 18 июля, 2015 Автор Опубликовано 18 июля, 2015 Еще пришло письмо KLAN-2980075351 Hello,New malicious software was found in the attached file. Its detection will be included in the next update. csrss.exe,system.pif - Trojan.Win32.Fsysna.cdfwThis file is "Porn/Advertising Tool" or a potentially risk program. New detection was added.__u.exe - not-a-virus: AdWare.Win32.PriceGong.auninstallmanager.exe,uninstallmanager_0.exe - not-a-virus: AdWare.Win32.ELEX.bfbrowser.bat not-a-virus:AdWare.BAT.Clicker.afBylekh.dll not-a-virus:AdWare.Win32.OptimizerMonitor.heurBylekh.exe not-a-virus:AdWare.Win32.Agent.izxgdownload.exe not-a-virus:AdWare.Win32.MultiPlug.ofdzThank you for your help.
ekatzerina Опубликовано 18 июля, 2015 Автор Опубликовано 18 июля, 2015 Новые логи где? прикреплены в 9-м сообщении дублирую CollectionLog-2015.07.17-23.45.zip
ekatzerina Опубликовано 18 июля, 2015 Автор Опубликовано 18 июля, 2015 Сделайте лог полного сканирования МВАМ Сделала, не знаю в таком формате подойдет, если нет - переделаю. прилагаю Отчет MBAM 18.07-2.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти