Перейти к содержанию

xtbl

vovans
 Share

Рекомендуемые сообщения

vovans Новичок

vovans

Опубликовано
Опубликовано

Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.

Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.

++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
QuarantineFile('C:\Users\vova\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
DeleteFile('C:\Users\vova\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
DeleteFile('C:\Windows\system32\Tasks\SafeBrowser','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  •  


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:





HKLM\...\Policies\Explorer\Run: [4948B6E2-B5FA-47A7-9E46-C984C6D0FE52] => C:\Users\vova\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\4948B6E2-B5FA-47A7-9E46-C984C6D0FE52\12F0C79C-E676-4CE3-8C4A-6DC85616AAD2.exe

C:\Users\vova\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\4948B6E2-B5FA-47A7-9E46-C984C6D0FE52\12F0C79C-E676-4CE3-8C4A-6DC85616AAD2.exe





CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION





CHR Extension: (Smart Browser™) - C:\Users\vova\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-08-03]





CHR Extension: (Start page — Yandex) - C:\Users\vova\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2015-07-21]





CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - http://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx





OPR Extension: (Smart Browser™) - C:\Users\vova\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-08-03]

OPR Extension: (Smart Browser™) - C:\Users\vova\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2015-07-28]

2015-07-28 16:36 - 2015-08-03 19:37 - 00000000 ____C C:\Users\vova\AppData\Roaming\smw_inst

2015-07-21 19:23 - 2015-07-21 19:23 - 00000000 ___DC C:\Users\Все пользователи\KRB Updater Utility

2015-07-21 19:22 - 2015-07-21 19:25 - 00000000 ___DC C:\Program Files (x86)\Kinoroom Browser





C:\Users\vova\AppData\Local\Temp\0RRRX4Y2jUj9.exe

C:\Users\vova\AppData\Local\Temp\0wOTVWfRaX75.exe

C:\Users\vova\AppData\Local\Temp\3jirdR6ThP2L.exe

C:\Users\vova\AppData\Local\Temp\6dlPySNWvw9k.exe

C:\Users\vova\AppData\Local\Temp\amigo_tmp.exe





C:\Users\vova\AppData\Local\Temp\downloader.exe





C:\Users\vova\AppData\Local\Temp\gKXyDy4v5Xl4.exe

C:\Users\vova\AppData\Local\Temp\gXg6AHuFn6wq.exe

C:\Users\vova\AppData\Local\Temp\H55yUWRGdqqs.exe

C:\Users\vova\AppData\Local\Temp\hsVusWtkenrK.exe

C:\Users\vova\AppData\Local\Temp\hueZpLX4pWrO.exe

C:\Users\vova\AppData\Local\Temp\IySinv1C0OS3.exe

C:\Users\vova\AppData\Local\Temp\knerxXcLc3Ud.exe

C:\Users\vova\AppData\Local\Temp\lbCs6WeSiH5J.exe





C:\Users\vova\AppData\Local\Temp\Qhzt1OA2Ifk7.exe

C:\Users\vova\AppData\Local\Temp\RslNJh9Sj9ZP.exe

C:\Users\vova\AppData\Local\Temp\TZOKvUymHJ9j.exe

C:\Users\vova\AppData\Local\Temp\uYLH0mHggidZ.exe

C:\Users\vova\AppData\Local\Temp\XhePflPbN1MJ.exe

C:\Users\vova\AppData\Local\Temp\XQ93j9hOUWTB.exe

C:\Users\vova\AppData\Local\Temp\YAGvjNqTF60P.exe





Task: {139A0DEC-4FF0-4130-8F4C-2365FA825D5C} - \extsetup No Task File <==== ATTENTION





Task: {4CD8AF34-09CC-4884-8906-E7377C7F9002} - \Microsoft\Windows\SafeBrowser No Task File <==== ATTENTION

Task: {591CB7AD-7277-487F-BB07-87271EDFECE6} - System32\Tasks\Microsoft\Windows\A4948B6E2-B5FA-47A7-9E46-C984C6D0FE52 => C:\Users\vova\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\4948B6E2-B5FA-47A7-9E46-C984C6D0FE52\12F0C79C-E676-4CE3-8C4A-6DC85616AAD2.exe

Task: {992043F2-6255-4351-92FE-5F0EEE17083F} - \SafeBrowser No Task File <==== ATTENTION





Task: {C8D5D52E-8866-4B76-8052-A6638261AEA8} - \KRB Updater Utility No Task File <==== ATTENTION

Task: {DA247A37-B744-47BC-8ECF-52D6EBA92E5A} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service No Task File <==== ATTENTION

Task: {DEF4E79E-18F3-49D3-9EB7-30674152486F} - \Microsoft\Windows\extsetup No Task File <==== ATTENTION

Task: {EA633CAA-50A0-48DC-AB28-1A6DE57220C0} - System32\Tasks\Microsoft\Windows\4948B6E2-B5FA-47A7-9E46-C984C6D0FE52 => C:\Users\vova\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\4948B6E2-B5FA-47A7-9E46-C984C6D0FE52\12F0C79C-E676-4CE3-8C4A-6DC85616AAD2.exe <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...