Emily Опубликовано 20 октября, 2015 Опубликовано 20 октября, 2015 Добрый день! Все файлы на компьютере стали с расширением xtbl. Интернет несколько месяцев не подключали к этому ПК, Ребенок приносил файлики на флешке. Потом заметили что все файлы превратились в длинные названия с расширением xtbl. На диске Д аж 10 файлов readme.txt. Как спасти нужные файлы? CollectionLog-2015.10.20-13.42.zip README10.txt
mike 1 Опубликовано 20 октября, 2015 Опубликовано 20 октября, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Users\Samsung\appdata\roaming\ssleas.exe',''); QuarantineFile('C:\Users\Samsung\appdata\roaming\x11\a\engine.exe',''); DeleteService('hyverumu'); DeleteService('gopibeko'); DeleteService('dypybuby'); DeleteService('comyninu'); QuarantineFile('C:\Users\Samsung\AppData\Local\Oqfics\hgrnavgz.dll',''); QuarantineFile('C:\Users\Samsung\AppData\Local\Apfzworks\hbhdocsl.dll',''); DeleteFile('C:\Users\Samsung\AppData\Local\Apfzworks\hbhdocsl.dll','32'); DeleteFile('C:\Users\Samsung\AppData\Local\Oqfics\hgrnavgz.dll','32'); DeleteFile('C:\Program Files (x86)\B899FC3E-1439890500-E111-92F8-B888E3607EC5\hnsa7B97.tmp','32'); DeleteFile('C:\Program Files (x86)\B899FC3E-1439890500-E111-92F8-B888E3607EC5\knsfD996.tmpfs','32'); DeleteFile('C:\Users\Samsung\AppData\Local\B899FC3E-1439904991-E111-92F8-B888E3607EC5\snsa253E.tmp','32'); DeleteFile('C:\Program Files (x86)\B899FC3E-1439890500-E111-92F8-B888E3607EC5\jnsq3E19.tmp','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Apfzworks'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ordbics'); DeleteFile('C:\Users\Samsung\AppData\Local\Adobe\PPAPI\D99FAE91-F4B1-427B-8A4B-F1F137F3ADE9\81AAB0CC-8FD0-4221-8CF0-964C64AD44EB.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','D99FAE91-F4B1-427B-8A4B-F1F137F3ADE9'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads'); DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\595CB0EB-20D0-4CDB-9C5E-8010B5F534C3.exe','32'); DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\595CB0EB-20D0-4CDB-9C5E-8010B5F534C3','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\A595CB0EB-20D0-4CDB-9C5E-8010B5F534C3','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\AD99FAE91-F4B1-427B-8A4B-F1F137F3ADE9','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\D99FAE91-F4B1-427B-8A4B-F1F137F3ADE9','64'); DeleteFile('C:\Windows\system32\Tasks\nethost task','64'); DeleteFile('C:\Users\Samsung\AppData\Local\SystemDir\nethost.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SUPatchForW10Up','64'); DeleteFile('C:\Users\Samsung\appdata\roaming\x11\a\engine.exe','32'); DeleteFile('C:\Users\Samsung\appdata\roaming\ssleas.exe','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Emily Опубликовано 21 октября, 2015 Автор Опубликовано 21 октября, 2015 [KLAN-3273483012] Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. ssleas.exe - Trojan.Win32.Kesels.cДетектирование файла будет добавлено в следующее обновление.engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvpЭто - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.hgrnavgz.dll,hbhdocsl.dllПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского CollectionLog-2015.10.21-07.37.zip AdwCleanerS1.txt
mike 1 Опубликовано 21 октября, 2015 Опубликовано 21 октября, 2015 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Emily Опубликовано 21 октября, 2015 Автор Опубликовано 21 октября, 2015 (изменено) Удалила все AdwCleanerC1.txt Изменено 21 октября, 2015 пользователем Emily
mike 1 Опубликовано 21 октября, 2015 Опубликовано 21 октября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Emily Опубликовано 22 октября, 2015 Автор Опубликовано 22 октября, 2015 Сделала FRST.txt Addition.txt
Roman_Five Опубликовано 22 октября, 2015 Опубликовано 22 октября, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Task: {03BF5FC7-82C4-4E60-B044-4F0653968F66} - \Microsoft\Windows\AD99FAE91-F4B1-427B-8A4B-F1F137F3ADE9 -> No File <==== ATTENTION Task: {154B99CB-1784-45AD-BD10-3A0695D38E58} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION Task: {46C31D98-9915-4E60-9737-CD3310AC0F0F} - \Microsoft\Windows\595CB0EB-20D0-4CDB-9C5E-8010B5F534C3 -> No File <==== ATTENTION Task: {68E90A62-497B-493C-8773-73EE57601AC5} - \Kinoroom Browser -> No File <==== ATTENTION Task: {7EA01E71-32D8-4CFB-A869-D02A9FB531CA} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION Task: {93335382-C02F-4CC0-89DE-5802FA9EA920} - \SUPatchForW10Up -> No File <==== ATTENTION Task: {B04DBE21-03F2-4E84-B891-8DC68D5C5EAB} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION Task: {B9DC602E-37D0-4537-9596-9AA412AEEBD2} - \Microsoft\Windows\D99FAE91-F4B1-427B-8A4B-F1F137F3ADE9 -> No File <==== ATTENTION Task: {F861EF2A-FD01-42CE-B7E2-DC94E164657B} - \Microsoft\Windows\A595CB0EB-20D0-4CDB-9C5E-8010B5F534C3 -> No File <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR Extension: (Smart Browser) - C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2015-09-11] CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka OPR Extension: (Smart Browser) - C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2015-09-11] 2015-08-18 14:20 - 2015-09-13 16:32 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-08-18 14:20 - 2015-09-13 16:32 - 00000000 __SHD C:\ProgramData\Windows 2015-08-18 14:20 - 2015-08-18 14:20 - 00000893 _____ C:\README1.txt 2015-08-18 14:18 - 2015-08-18 14:18 - 00371216 _____ C:\Users\Samsung\AppData\Roaming\data13.dat Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
Emily Опубликовано 22 октября, 2015 Автор Опубликовано 22 октября, 2015 После этой процедуры компьютер не хотел загружаться, загрузился после процедуры восстановления Fixlog.txt
mike 1 Опубликовано 22 октября, 2015 Опубликовано 22 октября, 2015 Лицензия на наш антивирус у вас есть?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти