Перейти к содержанию

Шифровальщик


Рекомендуемые сообщения

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-5.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-11.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-10.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-7.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe','');
QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-5.exe','');
QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-11.exe','');
QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-10.exe','');
QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-1-7.exe','');
QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-1-6.exe','');
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','');
QuarantineFile('C:\Program Files\Alpha Shopper\alpha_shopper_helper_service.exe','');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
DelBHO('{2dd0916f-60de-4413-8198-d3c9d9b959d1}');
QuarantineFile('C:\Program Files\Browser Good\BrowserGoodbho.dll','');
SetServiceStart('{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w', 4);
DeleteService('{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w');
SetServiceStart('{b2f8ce07-8f89-4e49-8c2d-1824051845da}w', 4);
DeleteService('{b2f8ce07-8f89-4e49-8c2d-1824051845da}w');
SetServiceStart('{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w', 4);
DeleteService('{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w');
SetServiceStart('{83d61599-0efb-4f42-943e-3fde87e711f5}w', 4);
DeleteService('{83d61599-0efb-4f42-943e-3fde87e711f5}w');
SetServiceStart('{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w', 4);
DeleteService('{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w');
SetServiceStart('{62469e06-7e58-4462-b250-e2bdf049adec}w', 4);
DeleteService('{62469e06-7e58-4462-b250-e2bdf049adec}w');
SetServiceStart('{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w', 4);
DeleteService('{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w');
SetServiceStart('{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w', 4);
DeleteService('{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w');
SetServiceStart('{54742081-917b-4bcc-81f0-2e513917f7e3}w', 4);
DeleteService('{54742081-917b-4bcc-81f0-2e513917f7e3}w');
SetServiceStart('{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w', 4);
DeleteService('{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w');
SetServiceStart('{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w', 4);
DeleteService('{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w');
SetServiceStart('{1cd3f706-5219-4089-9f86-6d8cc40aacac}w', 4);
DeleteService('{1cd3f706-5219-4089-9f86-6d8cc40aacac}w');
SetServiceStart('{155269df-e342-42e1-af8a-a92196148922}w', 4);
DeleteService('{155269df-e342-42e1-af8a-a92196148922}w');
SetServiceStart('{155269df-e342-42e1-af8a-a92196148922}Gw', 4);
DeleteService('{155269df-e342-42e1-af8a-a92196148922}Gw');
SetServiceStart('innfd_1_10_0_13', 4);
DeleteService('innfd_1_10_0_13');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
SetServiceStart('Util Browser Good', 4);
DeleteService('Util Browser Good');
SetServiceStart('Update Browser Good', 4);
DeleteService('Update Browser Good');
SetServiceStart('insvc_1.10.0.13', 4);
DeleteService('insvc_1.10.0.13');
SetServiceStart('IHProtect Service', 4);
DeleteService('IHProtect Service');
SetServiceStart('BasementDuster', 4);
DeleteService('BasementDuster');
QuarantineFile('C:\Windows\system32\drivers\{c8576b75-cc46-4cd3-80ad-eb9418cd1f02}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{b2f8ce07-8f89-4e49-8c2d-1824051845da}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{83d61599-0efb-4f42-943e-3fde87e711f5}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{62469e06-7e58-4462-b250-e2bdf049adec}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{54742081-917b-4bcc-81f0-2e513917f7e3}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{1cd3f706-5219-4089-9f86-6d8cc40aacac}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{155269df-e342-42e1-af8a-a92196148922}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{155269df-e342-42e1-af8a-a92196148922}Gw.sys','');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_13.sys','');
QuarantineFile('C:\Users\Матвей\AppData\Local\SmartWeb\swhk.dll','');
QuarantineFile('C:\Program Files\XTab\SupTab.dll','');
QuarantineFile('C:\Program Files\IGS\BasementDusterCert.dll','');
QuarantineFile('C:\Program Files\globalUpdate\Update\1.3.25.0\goopdate.dll','');
TerminateProcessByName('c:\program files\browser good\bin\utilbrowsergood.exe');
QuarantineFile('c:\program files\browser good\bin\utilbrowsergood.exe','');
TerminateProcessByName('c:\users\Матвей\appdata\local\gmsd_ru_150\upgmsd_ru_150.exe');
QuarantineFile('c:\users\Матвей\appdata\local\gmsd_ru_150\upgmsd_ru_150.exe','');
TerminateProcessByName('c:\program files\browser good\updatebrowsergood.exe');
QuarantineFile('c:\program files\browser good\updatebrowsergood.exe','');
TerminateProcessByName('c:\users\Матвей\appdata\local\smartweb\smartwebhelper.exe');
QuarantineFile('c:\users\Матвей\appdata\local\smartweb\smartwebhelper.exe','');
TerminateProcessByName('c:\users\Матвей\appdata\local\smartweb\smartwebapp.exe');
QuarantineFile('c:\users\Матвей\appdata\local\smartweb\smartwebapp.exe','');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
TerminateProcessByName('c:\program files\xtab\protectservice.exe');
QuarantineFile('c:\program files\xtab\protectservice.exe','');
TerminateProcessByName('c:\users\Матвей\appdata\local\kometa\kometaup.exe');
QuarantineFile('c:\users\Матвей\appdata\local\kometa\kometaup.exe','');
TerminateProcessByName('c:\program files\infonaut_1.10.0.13\service\insvc.exe');
QuarantineFile('c:\program files\infonaut_1.10.0.13\service\insvc.exe','');
TerminateProcessByName('c:\program files\gmsd_ru_180\gmsd_ru_180.exe');
QuarantineFile('c:\program files\gmsd_ru_180\gmsd_ru_180.exe','');
TerminateProcessByName('c:\program files\gmsd_ru_150\gmsd_ru_150.exe');
QuarantineFile('c:\program files\gmsd_ru_150\gmsd_ru_150.exe','');
TerminateProcessByName('c:\program files\cinema plus pro 3.2cv30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe');
QuarantineFile('c:\program files\cinema plus pro 3.2cv30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
TerminateProcessByName('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe');
QuarantineFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','');
TerminateProcessByName('c:\program files\igs\basementduster.exe');
QuarantineFile('c:\program files\igs\basementduster.exe','');
TerminateProcessByName('c:\program files\alpha shopper\alpha_shopper_helper_service.exe');
QuarantineFile('c:\program files\alpha shopper\alpha_shopper_helper_service.exe','');
DeleteFile('c:\program files\alpha shopper\alpha_shopper_helper_service.exe','32');
DeleteFile('c:\program files\igs\basementduster.exe','32');
DeleteFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\program files\cinema plus pro 3.2cv30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe','32');
DeleteFile('c:\program files\gmsd_ru_150\gmsd_ru_150.exe','32');
DeleteFile('c:\program files\gmsd_ru_180\gmsd_ru_180.exe','32');
DeleteFile('c:\program files\infonaut_1.10.0.13\service\insvc.exe','32');
DeleteFile('c:\users\Матвей\appdata\local\kometa\kometaup.exe','32');
DeleteFile('c:\program files\xtab\protectservice.exe','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('c:\users\Матвей\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('c:\users\Матвей\appdata\local\smartweb\smartwebhelper.exe','32');
DeleteFile('c:\program files\browser good\updatebrowsergood.exe','32');
DeleteFile('c:\users\Матвей\appdata\local\gmsd_ru_150\upgmsd_ru_150.exe','32');
DeleteFile('c:\program files\browser good\bin\utilbrowsergood.exe','32');
DeleteFile('C:\Program Files\globalUpdate\Update\1.3.25.0\goopdate.dll','32');
DeleteFile('C:\Program Files\IGS\BasementDusterCert.dll','32');
DeleteFile('C:\Program Files\XTab\SupTab.dll','32');
DeleteFile('C:\Users\Матвей\AppData\Local\SmartWeb\swhk.dll','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_13.sys','32');
DeleteFile('C:\Windows\system32\drivers\{155269df-e342-42e1-af8a-a92196148922}Gw.sys','32');
DeleteFile('C:\Windows\system32\drivers\{155269df-e342-42e1-af8a-a92196148922}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{1cd3f706-5219-4089-9f86-6d8cc40aacac}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{54742081-917b-4bcc-81f0-2e513917f7e3}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{62469e06-7e58-4462-b250-e2bdf049adec}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{83d61599-0efb-4f42-943e-3fde87e711f5}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{b2f8ce07-8f89-4e49-8c2d-1824051845da}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{c8576b75-cc46-4cd3-80ad-eb9418cd1f02}w.sys','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_4D0606CFD11FDE41EF305353BAB81BB7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_150');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_180');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','kometaupremove');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_150.exe');
DeleteFile('C:\Program Files\Browser Good\BrowserGoodbho.dll','32');
DeleteFile('C:\Program Files\Alpha Shopper\alpha_shopper_helper_service.exe','32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32');
DeleteFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-1-6.exe','32');
DeleteFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-1-7.exe','32');
DeleteFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-10.exe','32');
DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-11.job','32');
DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-10_user.job','32');
DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-1-7.job','32');
DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-1-6.job','32');
DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\alpha_shopper_helper_service.job','32');
DeleteFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-5.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-7.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-10.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-11.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-5.exe','32');
DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-5_user.job','32');
DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-5.job','32');
DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-11.job','32');
DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-10_user.job','32');
DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-1-7.job','32');
DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.job','32');
DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-5_user.job','32');
DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-5.job','32');
DeleteFile('C:\Windows\Tasks\ONZVDIB.job','32');
DeleteFile('C:\Windows\Tasks\QCNB.job','32');
DeleteFile('C:\Windows\system32\Tasks\alpha_shopper_helper_service','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32');
DeleteFile('C:\Windows\system32\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-1-6','32');
DeleteFile('C:\Windows\system32\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-1-7','32');
DeleteFile('C:\Windows\system32\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-11','32');
DeleteFile('C:\Windows\system32\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-5','32');
DeleteFile('C:\Windows\system32\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6','32');
DeleteFile('C:\Windows\system32\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-1-7','32');
DeleteFile('C:\Windows\system32\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-11','32');
DeleteFile('C:\Windows\system32\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-5','32');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
DeleteFile('C:\Users\Матвей\appdata\roaming\mystartsearch\uninstallmanager.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

KLAN-3030886044

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

{155269df-e342-42e1-af8a-

a92196148922}Gw.sys,
{155269df-e342-42e1-af8a-a92196148922}w.sys,
{1cd3f706-5219-4089-9f86-6d8cc40aacac}w.sys,
{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w.sys,
{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w.sys,
{54742081-917b-4bcc-81f0-2e513917f7e3}w.sys,
{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w.sys,
{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w.sys,
{62469e06-7e58-4462-b250-e2bdf049adec}w.sys,
{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w.sys,
{83d61599-0efb-4f42-943e-3fde87e711f5}w.sys,
{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w.sys,
{b2f8ce07-8f89-4e49-8c2d-1824051845da}w.sys,
{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w.sys,
{c8576b75-cc46-4cd3-80ad-eb9418cd1f02}w.sys,
crossbrowse.exe,
d5dfc0ba-f544-413a-a03f-2959134f2578-10.exe,
d5dfc0ba-f544-413a-a03f-2959134f2578-11.exe,
d5dfc0ba-f544-413a-a03f-2959134f2578-1-7.exe,
ffe68d25-b42d-4388-bb97-adf8296744a8-10.exe,
ffe68d25-b42d-4388-bb97-adf8296744a8-11.exe,
innfd_1_10_0_13.sys,
upgmsd_ru_150.exe,
utility.exe
utilbrowsergood.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

alpha_shopper_helper_service.exe - not-a-virus:WebToolbar.Win32.CrossRider.aocw
d5dfc0ba-f544-413a-a03f-2959134f2578-1-6.exe,
ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe - not-a-virus:WebToolbar.Win32.CroRi.fhz
d5dfc0ba-f544-413a-a03f-2959134f2578-5.exe - not-a-virus:WebToolbar.Win32.CrossRider.absz
ffe68d25-b42d-4388-bb97-adf8296744a8-5.exe - not-a-virus:WebToolbar.Win32.CrossRider.wkj
goopdate.dll - not-a-virus:RiskTool.Win32.GlobalUpdate.dw
kometaup.exe - not-a-virus:Downloader.Win32.Agent.ebbb

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

basementduster.exe,
BasementDusterCert.dll

Вредоносный код в файлах не обнаружен.

BrowserGoodbho.dll,
updatebrowsergood.exe - not-a-virus:AdWare.MSIL.Agent.bcz
ffe68d25-b42d-4388-bb97-adf8296744a8-1-7.exe - not-a-virus:AdWare.Win32.Agent.iegx
gmsd_ru_150.exe - not-a-virus:AdWare.Win32.Eorezo.jla
gmsd_ru_180.exe - not-a-virus:AdWare.Win32.Eorezo.jnk
insvc.exe - not-a-virus:AdWare.Win32.Vitruvian.g
protectservice.exe,
SupTab.dll - not-a-virus:AdWare.Win32.SubTab.e
protectwindowsmanager.exe - not-a-virus:AdWare.Win32.ELEX.aa
smartwebapp.exe,
smartwebhelper.exe,
swhk.dll - not-a-virus:AdWare.Win32.PriceGong.a

Это файлы от рекламной системы. Детектирование файлов будет добавлено в   следующее обновление расширенного набора баз. Подробная информация о   расширенных базах: http://www.kaspersky.ru/extraavupdates

csrss.exe - Trojan.Win32.Fsysna.cbws

Детектирование файла будет добавлено в следующее обновление.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

хотел уточнить: под выполнением правил подразумевается повторное выполнение скрипта?

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

удалите через программы и компоненты или CCleaner следующее ПО:
 

Homepager (HKLM\...\Homepager) (Version:  - Homepager)
mystartsearch uninstall (HKLM\...\mystartsearch uninstall) (Version:  - mystartsearch) <==== ATTENTION
SmartWeb (HKLM\...\SmartWeb) (Version: 8.0.9 - SoftBrain Technologies Ltd.) <==== ATTENTION
WinZipper (HKLM\...\WinZipper) (Version: 1.5.98 - Taiwan Shui Mu Chih Ching Technology Limited.) <==== ATTENTION

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1631201641-4293155784-520780665-1000 -> 454D74BE1516AC230AEB8C64D298D900 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh [2015-05-23]
CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2015-05-23]
CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-05-23]
CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-05-23]
CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\pchfckkccldkbclgdepkaonamkignanh [2015-05-23]
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
2015-07-15 13:52 - 2015-07-15 13:52 - 00921654 _____ C:\Users\Матвей\AppData\Roaming\C6A89888C6A89888.bmp
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README9.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README8.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README7.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README6.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README5.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README4.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README3.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README2.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README10.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README1.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README9.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README8.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README7.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README6.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README5.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README4.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README3.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README2.txt
2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README10.txt
2015-08-06 11:23 - 2015-03-19 17:05 - 00000464 __RSH C:\Users\Все пользователи\ntuser.pol
2015-08-06 11:23 - 2015-03-19 17:05 - 00000464 __RSH C:\ProgramData\ntuser.pol
2015-08-06 10:17 - 2015-03-29 14:36 - 00000000 ____D C:\Program Files\globalUpdate
2015-08-05 09:17 - 2015-06-16 12:31 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-08-05 09:17 - 2015-06-16 12:31 - 00000000 __SHD C:\ProgramData\Windows
2015-08-04 16:47 - 2015-03-05 15:13 - 00000000 __SHD C:\Users\Матвей\AppData\Local\EmieUserList
2015-08-04 16:47 - 2015-03-05 15:13 - 00000000 __SHD C:\Users\Матвей\AppData\Local\EmieSiteList
2015-08-04 16:47 - 2015-03-05 15:13 - 00000000 __SHD C:\Users\Матвей\AppData\Local\EmieBrowserModeList
2015-07-19 10:32 - 2015-02-24 16:44 - 00000000 ____D C:\Users\Матвей\AppData\Local\Amigo
2015-07-19 10:29 - 2015-06-05 14:11 - 00000000 ____D C:\Users\Матвей\AppData\Local\Kometa
2015-07-15 13:52 - 2015-02-22 13:12 - 00000000 ____D C:\Users\Все пользователи\AMMYY
2015-07-15 13:52 - 2015-02-22 13:12 - 00000000 ____D C:\ProgramData\AMMYY
2015-07-15 13:52 - 2015-07-15 13:52 - 0921654 _____ () C:\Users\Матвей\AppData\Roaming\C6A89888C6A89888.bmp
2015-03-26 21:14 - 2015-03-26 21:14 - 0005542 _____ () C:\Users\Матвей\AppData\Roaming\ONZVDIB
2015-03-26 21:14 - 2015-03-26 21:14 - 0005542 _____ () C:\Users\Матвей\AppData\Roaming\QCNB
Task: {24E6ECF7-F1EE-47D0-AC24-5CFE803C3EA2} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

спасибо за работу.

вообще купленный ключ на каспера есть. подскажите, а есть вероятность что помогут в ТП ЛК?

файлы карантина нужно хранить, они могут пригодиться или шифровальщик себя потёр?

Изменено пользователем tostester
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...