tostester Опубликовано 5 августа, 2015 Share Опубликовано 5 августа, 2015 Добрый день. Отработал шифровальщик, файлы зашифрованы. контакт - post8881@gmail.com Лог прилагаю. Заранее благодарю! CollectionLog-2015.08.04-16.50.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 5 августа, 2015 Share Опубликовано 5 августа, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-5.exe',''); QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-11.exe',''); QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-10.exe',''); QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-7.exe',''); QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-5.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-11.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-10.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-1-7.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-1-6.exe',''); QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe',''); QuarantineFile('C:\Program Files\Alpha Shopper\alpha_shopper_helper_service.exe',''); DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}'); DelBHO('{2dd0916f-60de-4413-8198-d3c9d9b959d1}'); QuarantineFile('C:\Program Files\Browser Good\BrowserGoodbho.dll',''); SetServiceStart('{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w', 4); DeleteService('{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w'); SetServiceStart('{b2f8ce07-8f89-4e49-8c2d-1824051845da}w', 4); DeleteService('{b2f8ce07-8f89-4e49-8c2d-1824051845da}w'); SetServiceStart('{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w', 4); DeleteService('{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w'); SetServiceStart('{83d61599-0efb-4f42-943e-3fde87e711f5}w', 4); DeleteService('{83d61599-0efb-4f42-943e-3fde87e711f5}w'); SetServiceStart('{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w', 4); DeleteService('{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w'); SetServiceStart('{62469e06-7e58-4462-b250-e2bdf049adec}w', 4); DeleteService('{62469e06-7e58-4462-b250-e2bdf049adec}w'); SetServiceStart('{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w', 4); DeleteService('{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w'); SetServiceStart('{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w', 4); DeleteService('{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w'); SetServiceStart('{54742081-917b-4bcc-81f0-2e513917f7e3}w', 4); DeleteService('{54742081-917b-4bcc-81f0-2e513917f7e3}w'); SetServiceStart('{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w', 4); DeleteService('{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w'); SetServiceStart('{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w', 4); DeleteService('{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w'); SetServiceStart('{1cd3f706-5219-4089-9f86-6d8cc40aacac}w', 4); DeleteService('{1cd3f706-5219-4089-9f86-6d8cc40aacac}w'); SetServiceStart('{155269df-e342-42e1-af8a-a92196148922}w', 4); DeleteService('{155269df-e342-42e1-af8a-a92196148922}w'); SetServiceStart('{155269df-e342-42e1-af8a-a92196148922}Gw', 4); DeleteService('{155269df-e342-42e1-af8a-a92196148922}Gw'); SetServiceStart('innfd_1_10_0_13', 4); DeleteService('innfd_1_10_0_13'); SetServiceStart('WindowsMangerProtect', 4); DeleteService('WindowsMangerProtect'); SetServiceStart('Util Browser Good', 4); DeleteService('Util Browser Good'); SetServiceStart('Update Browser Good', 4); DeleteService('Update Browser Good'); SetServiceStart('insvc_1.10.0.13', 4); DeleteService('insvc_1.10.0.13'); SetServiceStart('IHProtect Service', 4); DeleteService('IHProtect Service'); SetServiceStart('BasementDuster', 4); DeleteService('BasementDuster'); QuarantineFile('C:\Windows\system32\drivers\{c8576b75-cc46-4cd3-80ad-eb9418cd1f02}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{b2f8ce07-8f89-4e49-8c2d-1824051845da}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{83d61599-0efb-4f42-943e-3fde87e711f5}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{62469e06-7e58-4462-b250-e2bdf049adec}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{54742081-917b-4bcc-81f0-2e513917f7e3}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{1cd3f706-5219-4089-9f86-6d8cc40aacac}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{155269df-e342-42e1-af8a-a92196148922}w.sys',''); QuarantineFile('C:\Windows\system32\drivers\{155269df-e342-42e1-af8a-a92196148922}Gw.sys',''); QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_13.sys',''); QuarantineFile('C:\Users\Матвей\AppData\Local\SmartWeb\swhk.dll',''); QuarantineFile('C:\Program Files\XTab\SupTab.dll',''); QuarantineFile('C:\Program Files\IGS\BasementDusterCert.dll',''); QuarantineFile('C:\Program Files\globalUpdate\Update\1.3.25.0\goopdate.dll',''); TerminateProcessByName('c:\program files\browser good\bin\utilbrowsergood.exe'); QuarantineFile('c:\program files\browser good\bin\utilbrowsergood.exe',''); TerminateProcessByName('c:\users\Матвей\appdata\local\gmsd_ru_150\upgmsd_ru_150.exe'); QuarantineFile('c:\users\Матвей\appdata\local\gmsd_ru_150\upgmsd_ru_150.exe',''); TerminateProcessByName('c:\program files\browser good\updatebrowsergood.exe'); QuarantineFile('c:\program files\browser good\updatebrowsergood.exe',''); TerminateProcessByName('c:\users\Матвей\appdata\local\smartweb\smartwebhelper.exe'); QuarantineFile('c:\users\Матвей\appdata\local\smartweb\smartwebhelper.exe',''); TerminateProcessByName('c:\users\Матвей\appdata\local\smartweb\smartwebapp.exe'); QuarantineFile('c:\users\Матвей\appdata\local\smartweb\smartwebapp.exe',''); TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe'); QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe',''); TerminateProcessByName('c:\program files\xtab\protectservice.exe'); QuarantineFile('c:\program files\xtab\protectservice.exe',''); TerminateProcessByName('c:\users\Матвей\appdata\local\kometa\kometaup.exe'); QuarantineFile('c:\users\Матвей\appdata\local\kometa\kometaup.exe',''); TerminateProcessByName('c:\program files\infonaut_1.10.0.13\service\insvc.exe'); QuarantineFile('c:\program files\infonaut_1.10.0.13\service\insvc.exe',''); TerminateProcessByName('c:\program files\gmsd_ru_180\gmsd_ru_180.exe'); QuarantineFile('c:\program files\gmsd_ru_180\gmsd_ru_180.exe',''); TerminateProcessByName('c:\program files\gmsd_ru_150\gmsd_ru_150.exe'); QuarantineFile('c:\program files\gmsd_ru_150\gmsd_ru_150.exe',''); TerminateProcessByName('c:\program files\cinema plus pro 3.2cv30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe'); QuarantineFile('c:\program files\cinema plus pro 3.2cv30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); TerminateProcessByName('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe'); QuarantineFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe',''); TerminateProcessByName('c:\program files\igs\basementduster.exe'); QuarantineFile('c:\program files\igs\basementduster.exe',''); TerminateProcessByName('c:\program files\alpha shopper\alpha_shopper_helper_service.exe'); QuarantineFile('c:\program files\alpha shopper\alpha_shopper_helper_service.exe',''); DeleteFile('c:\program files\alpha shopper\alpha_shopper_helper_service.exe','32'); DeleteFile('c:\program files\igs\basementduster.exe','32'); DeleteFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','32'); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('c:\program files\cinema plus pro 3.2cv30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe','32'); DeleteFile('c:\program files\gmsd_ru_150\gmsd_ru_150.exe','32'); DeleteFile('c:\program files\gmsd_ru_180\gmsd_ru_180.exe','32'); DeleteFile('c:\program files\infonaut_1.10.0.13\service\insvc.exe','32'); DeleteFile('c:\users\Матвей\appdata\local\kometa\kometaup.exe','32'); DeleteFile('c:\program files\xtab\protectservice.exe','32'); DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32'); DeleteFile('c:\users\Матвей\appdata\local\smartweb\smartwebapp.exe','32'); DeleteFile('c:\users\Матвей\appdata\local\smartweb\smartwebhelper.exe','32'); DeleteFile('c:\program files\browser good\updatebrowsergood.exe','32'); DeleteFile('c:\users\Матвей\appdata\local\gmsd_ru_150\upgmsd_ru_150.exe','32'); DeleteFile('c:\program files\browser good\bin\utilbrowsergood.exe','32'); DeleteFile('C:\Program Files\globalUpdate\Update\1.3.25.0\goopdate.dll','32'); DeleteFile('C:\Program Files\IGS\BasementDusterCert.dll','32'); DeleteFile('C:\Program Files\XTab\SupTab.dll','32'); DeleteFile('C:\Users\Матвей\AppData\Local\SmartWeb\swhk.dll','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_13.sys','32'); DeleteFile('C:\Windows\system32\drivers\{155269df-e342-42e1-af8a-a92196148922}Gw.sys','32'); DeleteFile('C:\Windows\system32\drivers\{155269df-e342-42e1-af8a-a92196148922}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{1cd3f706-5219-4089-9f86-6d8cc40aacac}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{54742081-917b-4bcc-81f0-2e513917f7e3}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{62469e06-7e58-4462-b250-e2bdf049adec}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{83d61599-0efb-4f42-943e-3fde87e711f5}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{b2f8ce07-8f89-4e49-8c2d-1824051845da}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w.sys','32'); DeleteFile('C:\Windows\system32\drivers\{c8576b75-cc46-4cd3-80ad-eb9418cd1f02}w.sys','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_4D0606CFD11FDE41EF305353BAB81BB7'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_150'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_180'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','kometaupremove'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_150.exe'); DeleteFile('C:\Program Files\Browser Good\BrowserGoodbho.dll','32'); DeleteFile('C:\Program Files\Alpha Shopper\alpha_shopper_helper_service.exe','32'); DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-1-6.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-1-7.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-10.exe','32'); DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-11.job','32'); DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-10_user.job','32'); DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-1-7.job','32'); DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-1-6.job','32'); DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\Windows\Tasks\alpha_shopper_helper_service.job','32'); DeleteFile('C:\Program Files\CinemaPlus-3.2cV07.04\d5dfc0ba-f544-413a-a03f-2959134f2578-5.exe','32'); DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe','32'); DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-1-7.exe','32'); DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-10.exe','32'); DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-11.exe','32'); DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV30.03\ffe68d25-b42d-4388-bb97-adf8296744a8-5.exe','32'); DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-5_user.job','32'); DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-5.job','32'); DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-11.job','32'); DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-10_user.job','32'); DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-1-7.job','32'); DeleteFile('C:\Windows\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.job','32'); DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-5_user.job','32'); DeleteFile('C:\Windows\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-5.job','32'); DeleteFile('C:\Windows\Tasks\ONZVDIB.job','32'); DeleteFile('C:\Windows\Tasks\QCNB.job','32'); DeleteFile('C:\Windows\system32\Tasks\alpha_shopper_helper_service','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32'); DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32'); DeleteFile('C:\Windows\system32\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-1-6','32'); DeleteFile('C:\Windows\system32\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-1-7','32'); DeleteFile('C:\Windows\system32\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-11','32'); DeleteFile('C:\Windows\system32\Tasks\d5dfc0ba-f544-413a-a03f-2959134f2578-5','32'); DeleteFile('C:\Windows\system32\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-1-6','32'); DeleteFile('C:\Windows\system32\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-1-7','32'); DeleteFile('C:\Windows\system32\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-11','32'); DeleteFile('C:\Windows\system32\Tasks\ffe68d25-b42d-4388-bb97-adf8296744a8-5','32'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32'); DeleteFile('C:\Users\Матвей\appdata\roaming\mystartsearch\uninstallmanager.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
tostester Опубликовано 6 августа, 2015 Автор Share Опубликовано 6 августа, 2015 KLAN-3030886044 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.{155269df-e342-42e1-af8a- a92196148922}Gw.sys,{155269df-e342-42e1-af8a-a92196148922}w.sys,{1cd3f706-5219-4089-9f86-6d8cc40aacac}w.sys,{4c14fc1a-d770-412e-9ddc-7a6cca9696cd}w.sys,{4d764ff2-b4ed-464e-844f-8a1fbea806f0}w.sys,{54742081-917b-4bcc-81f0-2e513917f7e3}w.sys,{560ee3fd-9654-4ad9-9a90-e7be99f5b3c7}w.sys,{5ba6553b-6340-4c7d-bf54-0c684c734bbb}w.sys,{62469e06-7e58-4462-b250-e2bdf049adec}w.sys,{77f6a904-58d8-47e1-b07f-da8c7e56f35d}w.sys,{83d61599-0efb-4f42-943e-3fde87e711f5}w.sys,{84d18c2a-0c81-41a6-b882-f2bd093f92fb}w.sys,{b2f8ce07-8f89-4e49-8c2d-1824051845da}w.sys,{be8f1758-855f-4af9-98b8-aa4f8e6ebf65}w.sys,{c8576b75-cc46-4cd3-80ad-eb9418cd1f02}w.sys,crossbrowse.exe,d5dfc0ba-f544-413a-a03f-2959134f2578-10.exe,d5dfc0ba-f544-413a-a03f-2959134f2578-11.exe,d5dfc0ba-f544-413a-a03f-2959134f2578-1-7.exe,ffe68d25-b42d-4388-bb97-adf8296744a8-10.exe,ffe68d25-b42d-4388-bb97-adf8296744a8-11.exe,innfd_1_10_0_13.sys,upgmsd_ru_150.exe,utility.exeutilbrowsergood.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.alpha_shopper_helper_service.exe - not-a-virus:WebToolbar.Win32.CrossRider.aocwd5dfc0ba-f544-413a-a03f-2959134f2578-1-6.exe,ffe68d25-b42d-4388-bb97-adf8296744a8-1-6.exe - not-a-virus:WebToolbar.Win32.CroRi.fhzd5dfc0ba-f544-413a-a03f-2959134f2578-5.exe - not-a-virus:WebToolbar.Win32.CrossRider.abszffe68d25-b42d-4388-bb97-adf8296744a8-5.exe - not-a-virus:WebToolbar.Win32.CrossRider.wkjgoopdate.dll - not-a-virus:RiskTool.Win32.GlobalUpdate.dwkometaup.exe - not-a-virus:Downloader.Win32.Agent.ebbbЭто - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.basementduster.exe,BasementDusterCert.dllВредоносный код в файлах не обнаружен.BrowserGoodbho.dll,updatebrowsergood.exe - not-a-virus:AdWare.MSIL.Agent.bczffe68d25-b42d-4388-bb97-adf8296744a8-1-7.exe - not-a-virus:AdWare.Win32.Agent.iegxgmsd_ru_150.exe - not-a-virus:AdWare.Win32.Eorezo.jlagmsd_ru_180.exe - not-a-virus:AdWare.Win32.Eorezo.jnkinsvc.exe - not-a-virus:AdWare.Win32.Vitruvian.gprotectservice.exe,SupTab.dll - not-a-virus:AdWare.Win32.SubTab.eprotectwindowsmanager.exe - not-a-virus:AdWare.Win32.ELEX.aasmartwebapp.exe,smartwebhelper.exe,swhk.dll - not-a-virus:AdWare.Win32.PriceGong.aЭто файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdatescsrss.exe - Trojan.Win32.Fsysna.cbwsДетектирование файла будет добавлено в следующее обновление. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи хотел уточнить: под выполнением правил подразумевается повторное выполнение скрипта? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 6 августа, 2015 Share Опубликовано 6 августа, 2015 Повторный сбор логов при помощи Autologger Ссылка на комментарий Поделиться на другие сайты More sharing options...
tostester Опубликовано 6 августа, 2015 Автор Share Опубликовано 6 августа, 2015 новый log CollectionLog-2015.08.05-12.22.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 6 августа, 2015 Share Опубликовано 6 августа, 2015 Сделайте лог полного сканирования МВАМ Ссылка на комментарий Поделиться на другие сайты More sharing options...
tostester Опубликовано 7 августа, 2015 Автор Share Опубликовано 7 августа, 2015 лог MBAM malware.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 7 августа, 2015 Share Опубликовано 7 августа, 2015 Удалите в МВАМ все найденное Ссылка на комментарий Поделиться на другие сайты More sharing options...
tostester Опубликовано 7 августа, 2015 Автор Share Опубликовано 7 августа, 2015 (изменено) сделано! как вы полагаете, надежда на восстановление данных есть? Изменено 7 августа, 2015 пользователем tostester Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 7 августа, 2015 Share Опубликовано 7 августа, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
tostester Опубликовано 7 августа, 2015 Автор Share Опубликовано 7 августа, 2015 отчёт FRST FRST.txt Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 7 августа, 2015 Share Опубликовано 7 августа, 2015 удалите через программы и компоненты или CCleaner следующее ПО: Homepager (HKLM\...\Homepager) (Version: - Homepager) mystartsearch uninstall (HKLM\...\mystartsearch uninstall) (Version: - mystartsearch) <==== ATTENTION SmartWeb (HKLM\...\SmartWeb) (Version: 8.0.9 - SoftBrain Technologies Ltd.) <==== ATTENTION WinZipper (HKLM\...\WinZipper) (Version: 1.5.98 - Taiwan Shui Mu Chih Ching Technology Limited.) <==== ATTENTION Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION SearchScopes: HKU\S-1-5-21-1631201641-4293155784-520780665-1000 -> 454D74BE1516AC230AEB8C64D298D900 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} FF Plugin: @microsoft.com/GENUINE -> disabled [No File] CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh [2015-05-23] CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2015-05-23] CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-05-23] CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-05-23] CHR Extension: (No Name) - C:\Users\Матвей\AppData\Local\Google\Chrome\User Data\Default\Extensions\pchfckkccldkbclgdepkaonamkignanh [2015-05-23] CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx 2015-07-15 13:52 - 2015-07-15 13:52 - 00921654 _____ C:\Users\Матвей\AppData\Roaming\C6A89888C6A89888.bmp 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README9.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README8.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README7.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README6.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README5.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README4.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README3.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README2.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README10.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Матвей\Desktop\README1.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README9.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README8.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README7.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README6.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README5.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README4.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README3.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README2.txt 2015-07-15 13:52 - 2015-07-15 13:52 - 00000903 _____ C:\Users\Public\Desktop\README10.txt 2015-08-06 11:23 - 2015-03-19 17:05 - 00000464 __RSH C:\Users\Все пользователи\ntuser.pol 2015-08-06 11:23 - 2015-03-19 17:05 - 00000464 __RSH C:\ProgramData\ntuser.pol 2015-08-06 10:17 - 2015-03-29 14:36 - 00000000 ____D C:\Program Files\globalUpdate 2015-08-05 09:17 - 2015-06-16 12:31 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-08-05 09:17 - 2015-06-16 12:31 - 00000000 __SHD C:\ProgramData\Windows 2015-08-04 16:47 - 2015-03-05 15:13 - 00000000 __SHD C:\Users\Матвей\AppData\Local\EmieUserList 2015-08-04 16:47 - 2015-03-05 15:13 - 00000000 __SHD C:\Users\Матвей\AppData\Local\EmieSiteList 2015-08-04 16:47 - 2015-03-05 15:13 - 00000000 __SHD C:\Users\Матвей\AppData\Local\EmieBrowserModeList 2015-07-19 10:32 - 2015-02-24 16:44 - 00000000 ____D C:\Users\Матвей\AppData\Local\Amigo 2015-07-19 10:29 - 2015-06-05 14:11 - 00000000 ____D C:\Users\Матвей\AppData\Local\Kometa 2015-07-15 13:52 - 2015-02-22 13:12 - 00000000 ____D C:\Users\Все пользователи\AMMYY 2015-07-15 13:52 - 2015-02-22 13:12 - 00000000 ____D C:\ProgramData\AMMYY 2015-07-15 13:52 - 2015-07-15 13:52 - 0921654 _____ () C:\Users\Матвей\AppData\Roaming\C6A89888C6A89888.bmp 2015-03-26 21:14 - 2015-03-26 21:14 - 0005542 _____ () C:\Users\Матвей\AppData\Roaming\ONZVDIB 2015-03-26 21:14 - 2015-03-26 21:14 - 0005542 _____ () C:\Users\Матвей\AppData\Roaming\QCNB Task: {24E6ECF7-F1EE-47D0-AC24-5CFE803C3EA2} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
tostester Опубликовано 7 августа, 2015 Автор Share Опубликовано 7 августа, 2015 fixlog.txt Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 7 августа, 2015 Share Опубликовано 7 августа, 2015 чисто.смените важные пароли.с расшифровкой не поможем.если есть активный код к продуктам ЛК - обращайтесь в ТП ЛК. 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
tostester Опубликовано 7 августа, 2015 Автор Share Опубликовано 7 августа, 2015 (изменено) спасибо за работу. вообще купленный ключ на каспера есть. подскажите, а есть вероятность что помогут в ТП ЛК? файлы карантина нужно хранить, они могут пригодиться или шифровальщик себя потёр? Изменено 7 августа, 2015 пользователем tostester Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти