Ирина25 Опубликовано 20 ноября, 2015 Share Опубликовано 20 ноября, 2015 Добрый день, та же проблема!!! Файлы прикрепила, помогите, пожалуйста Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 20 ноября, 2015 Share Опубликовано 20 ноября, 2015 @Ирина25, выполните Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ирина25 Опубликовано 22 ноября, 2015 Автор Share Опубликовано 22 ноября, 2015 По собственной глупости скачала и запустила с почты файл с расширением .exe. Очень надеюсь, что поможете и мне не придется ночевать на работе! Т.к. комп, где хранились копии недавно сломался и файлы за 6 лет работы испарились. Выкладываю скан экрана и файл протоколов (логов). CollectionLog-2015.11.22-13.12.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 22 ноября, 2015 Share Опубликовано 22 ноября, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Video Saver\Ilmia6N.exe',''); QuarantineFile('C:\Program Files\advPlugin\F0exC82.exe.exe',''); DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}'); QuarantineFile('C:\Program Files\VK Downloader\IEEF\AUpYPqSCkk.dll',''); DeleteService('MaintainerSvc3.37.554636'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\d9ce53a2-5b0a-4d8e-9021-3efb72b12cd5\maintainer.exe',''); DeleteService('Util Whilokii'); DeleteService('Update Whilokii'); QuarantineFile('C:\Program Files\Whilokii\bin\utilWhilokii.exe',''); QuarantineFile('C:\Program Files\Whilokii\updateWhilokii.exe',''); DeleteFile('C:\Program Files\Whilokii\updateWhilokii.exe','32'); DeleteFile('C:\Program Files\Whilokii\bin\utilWhilokii.exe','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\d9ce53a2-5b0a-4d8e-9021-3efb72b12cd5\maintainer.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','77Zip973867.exe'); DeleteFile('C:\Program Files\VK Downloader\IEEF\AUpYPqSCkk.dll','32'); DeleteFile('C:\Program Files\advPlugin\F0exC82.exe.exe','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for advPlugin.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for advPlugin2.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for Video Saver 2.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for Video Saver 22.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for Video Saver.job','32'); DeleteFile('C:\Program Files\Video Saver\Ilmia6N.exe','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for Video Saver2.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for VK Downloader.job','32'); DeleteFile('C:\WINDOWS\Tasks\Update Service for VK Downloader2.job','32'); DeleteFile('C:\WINDOWS\Tasks\Recovery Tool for Video Saver 2.job','32'); DeleteFile('C:\WINDOWS\Tasks\Recovery Tool for Video Saver 22.job','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ирина25 Опубликовано 23 ноября, 2015 Автор Share Опубликовано 23 ноября, 2015 Ответ на письмо: Re: [KLAN-3376080012] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. quarantine.zipЭтот файл повреждён.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. quarantine.zipThis file is corrupted.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com" Просканировала, новые логи предоставляю: CollectionLog-2015.11.23-08.15.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 23 ноября, 2015 Share Опубликовано 23 ноября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ирина25 Опубликовано 23 ноября, 2015 Автор Share Опубликовано 23 ноября, 2015 Сделала FRST.txt Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 23 ноября, 2015 Share Опубликовано 23 ноября, 2015 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-329068152-879983540-725345543-1003_Classes\CLSID\{FBE88A10-FF53-11E0-AB2A-AE904824019B}\InprocServer32 -> C:\DOCUME~1\user\LOCALS~1\APPLIC~1\ASKTOO~1\DOWNLO~1\AVIRAI~1.DLL => No File ShortcutWithArgument: C:\Documents and Settings\user\Главное меню\Программы\Вконтакте.lnk -> C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\vk.exe () -> hxxp://r.mail.ru/n137259054 <==== ATTENTION ShortcutWithArgument: C:\Documents and Settings\user\Главное меню\Программы\Одноклассники.lnk -> C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\ok.exe () -> hxxp://r.mail.ru/n137259047 <==== ATTENTION ShortcutWithArgument: C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\WINDOWS\system32\cmd.exe (Корпорация Майкрософт) -> /c start "" "hxxp://onzerve.ru/?utm_source=startlink03&utm_term=BB84703618C3348C2C4C1207DCA8E39F" <==== ATTENTION ShortcutWithArgument: C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.mail.ru/cnt/8136 <==== ATTENTION ShortcutWithArgument: C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk -> C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\vk.exe () -> hxxp://r.mail.ru/n137259063 <==== ATTENTION ShortcutWithArgument: C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk -> C:\Documents and Settings\user\Local Settings\Application Data\Amigo\Application\ok.exe () -> hxxp://r.mail.ru/n137259061 <==== ATTENTION AlternateDataStreams: C:\Documents and Settings\user:id HKU\S-1-5-18\...\RunOnce: [Del2809281] => cmd.exe /Q /D /c del "C:\Temp\0.del" <===== ATTENTION HKU\S-1-5-18\...\RunOnce: [Del2779203] => cmd.exe /Q /D /c del "C:\Temp\0.del" <===== ATTENTION HKU\S-1-5-21-329068152-879983540-725345543-1003\...\Run: [aytyheyykq] => "http://onzerve.ru/?utm_source=uoua03&utm_content=7a6a4678a1d50253790e9906ef30fe8e&utm_term=BB84703618C3348C2C4C1207DCA8E39F" HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://rts.dsrlte.com/?m=tab&affID=na" <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION Toolbar: HKU\.DEFAULT -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-329068152-879983540-725345543-1003 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-329068152-879983540-725345543-1003 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File FF Extension: No Name - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found] FF Extension: Popup Currency Calculator - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1B1F6171-E8D6-4F5F-9778-3009CC2748E2} [2015-06-10] [not signed] FF Extension: Popup Currency Converter - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2015-03-10] [not signed] FF Extension: VK Downloader - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} [2015-08-25] [not signed] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\firefox-branding.js [2010-01-16] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\firefox-l10n.js [2010-01-16] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\firefox.js [2010-01-16] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\reporter.js [2010-01-16] CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=blackbear16", "hxxp://onzerve.ru/?utm_content=7d42d5e2258c028ba9e006578490dfb8&utm_source=startpm&utm_term=BB84703618C3348C2C4C1207DCA8E39F" CHR NewTab: Default -> "chrome-extension://bpgangmffjcofiknibcmfjionicohfgj/visual-bookmarks.html", "chrome-extension://gndaciceccgapjhpniecknjlmmlanaem/visual-bookmarks.html", "chrome-extension://kppacdmmddediahklmcgkgdhhoojemmd/visual-bookmarks.html" 2015-11-20 08:26 - 2015-11-20 09:53 - 0000080 _____ () C:\Program Files\WHLLZNVSTG.URY Reboot: 2. Нажмите Файл – Сохранить как 3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ирина25 Опубликовано 23 ноября, 2015 Автор Share Опубликовано 23 ноября, 2015 Готово Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 23 ноября, 2015 Share Опубликовано 23 ноября, 2015 С расшифровкой не поможем Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ирина25 Опубликовано 23 ноября, 2015 Автор Share Опубликовано 23 ноября, 2015 Ясно, спасибо. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти