Перейти к содержанию

Зашифрованы документы


Рекомендуемые сообщения

Добрый день!

Сотруднице на почту пришло письмо от знакомого пользователя. открыла ссылку и ...

Во вложении файлы логов и несколько зараженных файлов.

Заранее благодарен.

Вирус.zip

Ссылка на комментарий
Поделиться на другие сайты

Почему логи сделаны специальной версией Автологгера? Обычная версия не запустилась? 

 

Это ваши файлы?

c:\temp\logsvcprov.exe
c:\users\12\appdata\local\temp\qe.exe
c:\temp\rpchost.exe
C:\ProgramData\Adobe\rdp\kl.exe
Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
 

 

 


да все мои.

ТОЧНО?
 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\temp\logsvcprov.exe');
 QuarantineFile('C:\Users\12\AppData\Local\MediaGet2\mediaget.exe','');
 QuarantineFile('C:\Program Files\Ask.com\Updater\Updater.exe','');
 QuarantineFile('c:\programdata\adobe\rdp\kl.exe','');
 QuarantineFile('c:\temp\rpchost.exe','');
 QuarantineFile('c:\users\12\appdata\local\temp\qe.exe','');
 QuarantineFile('C:\Program Files\explore.exe','');
 QuarantineFile('c:\temp\logsvcprov.exe','');
 DeleteFile('c:\temp\logsvcprov.exe','32');
 DeleteFile('C:\Program Files\explore.exe','32');
 DeleteFile('C:\Program Files\Ask.com\Updater\Updater.exe','32');
 DeleteFile('C:\Users\12\AppData\Local\MediaGet2\mediaget.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1432124748&z=0e74e2b8fd66d408ba83993g2zcc2odg5o6z7m1wbe&from=wpm05203&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1427439508&from=wpm032731&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1427439508&from=wpm032731&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1432124748&z=0e74e2b8fd66d408ba83993g2zcc2odg5o6z7m1wbe&from=wpm05203&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1419939530&from=sien&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1419939530&from=sien&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.delta-homes.com/?type=hp&ts=1432124748&z=0e74e2b8fd66d408ba83993g2zcc2odg5o6z7m1wbe&from=wpm05203&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O4 - HKLM\..\Run: [pr] C:\Program Files\explore.exe
O4 - HKCU\..\Run: [336B96E60F620DC7E13AF0D03F41AB853903A0C4._service_run] "C:\Users\12\AppData\Local\Google\Chrome\Application\chrome.exe" --type=service
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - Invalid registry found

 
Сделайте новые логи по правилам (только пункт 2).

+ приложите логи FRST 
Ссылка на комментарий
Поделиться на другие сайты

Добрый день! Спасибо что не бросаете в сложный час!

 

 

 1.Логи сделал, скрипт выполнил. на портал отправил. Вот ответ.

 

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

kl.exe,
bcqr00005.dat,
bcqr00006.dat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

rpchost.exe,
logsvcprov.exe,
bcqr00007.dat,
bcqr00008.dat - not-a-virus:RemoteAdmin.Win32.RMS.x

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

qe.exe,
bcqr00009.dat,
bcqr00010.dat - Trojan.Win32.Yakes.npdq

Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

 

 

 2. kulichenko.znam сказал(а)

snapback.png


да все мои.
Да мои.в прошлый раз, перед ответом, прошелся по всем четырем файлам они там были.
 
3. Пофиксил. не хватало пары строк , как Вы и писали.
 
4. Новые логи во вложении.

LOG.zip

Ссылка на комментарий
Поделиться на другие сайты

 


Да мои.в прошлый раз, перед ответом, прошелся по всем четырем файлам они там были.


я плакалЬ. простите.
Ваши - это не у Вас на компьютере, а ВАШИ личные.
то, что они на компьютере - мы и так видим.


 
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

HKLM\...\Run: [eRecoveryService] => [X]
HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\Run: [336B96E60F620DC7E13AF0D03F41AB853903A0C4._service_run] => C:\Users\12\AppData\Local\Google\Chrome\Application\chrome.exe [741704 2015-12-11] (Google Inc.)
HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\Run: [QE Java updater] => C:\Users\12\AppData\Local\Temp\QE.EXE [329216 2015-11-30] (Cyotek Ltd) <===== ATTENTION
HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\Run: [RPCHost] => c:\Temp\rpchost.exe [6098392 2013-07-09] () <===== ATTENTION
HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\MountPoints2: {15681a30-3eb5-11de-aed7-001eecd2af2f} - pytsmvt.exe
HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\MountPoints2: {3d699303-cf5b-11de-8f04-001eecd2af2f} - ntde1ect.com
HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\MountPoints2: {3d699309-cf5b-11de-8f04-001eecd2af2f} - ntde1ect.com
HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\MountPoints2: {9748c66d-c453-11de-8705-cb12c776cf90} - G:\ntde1ect.com
HKU\S-1-5-21-2655593460-3920436555-4022695757-1000\...\MountPoints2: {e5f248c7-7210-11df-aea5-001eecd2af2f} - E:\ciribu\\slavica.exe
SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> 0ED8739B4C1574CC6EA4DCBAA354B673 URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> yandex.ru-174647 URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {DE3924E5-C493-40D7-AB1A-9D0435CA30C9} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
Toolbar: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-2655593460-3920436555-4022695757-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1419939530&from=sien&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745
FF SearchPlugin: C:\Users\12\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-cryptolocker@aol.com.ver-CL 1.0.0.0.id-LKHDFDXTNHDZTQNKFAWQJECAUPIFAWTNKDYT-21.12.2015 10@10@208231539.randomname-ABWSTPLHEAWSPLHDZWTPLHCYTQLHDZ.ZUP.cbf [2015-12-21]
FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\12\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
FF Extension: SuperMegaBest.com - C:\Users\12\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2014-12-30] [not signed]
CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1419939530&from=sien&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745"
CHR Plugin: (Shockwave Flash) - C:\Users\12\AppData\Local\Google\Chrome\Application\47.0.2526.106\gcswf32.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Users\12\AppData\Local\Google\Chrome\Application\47.0.2526.106\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll => No File
CHR HKLM\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\12\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
OPR Extension: (SuperMegaBest.com) - C:\Users\12\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2015-08-07]
2015-12-21 11:15 - 2015-12-21 11:15 - 00927422 _____ C:\Program Files\desk.bmp
2015-12-21 10:18 - 2015-12-21 11:15 - 00000081 _____ C:\Program Files\YFNCCGFKBD.TEL
2015-12-21 10:10 - 2015-12-21 10:10 - 00000065 _____ C:\Program Files\DAVMKGFWJN.KTD
2015-12-21 10:03 - 2015-12-21 10:03 - 00000065 _____ C:\Program Files\OIGSWQGQHJ.BGC
2015-12-21 08:44 - 2015-12-21 08:44 - 00000064 _____ C:\Program Files\JVYXLDQQJN.GIA
C:\Users\12\AppData\Local\Temp\QE.EXE
c:\Temp\rpchost.exe
C:\Users\12\AppData\Local\Temp\explore.exe
C:\Users\12\AppData\Local\Temp\hamsterarc_v.3.0.0.86_hfza_upd_1.exe
C:\Users\12\AppData\Local\Temp\ipl.dll
C:\Users\12\AppData\Local\Temp\iplpx.dll
C:\Users\12\AppData\Local\Temp\jre-8u66-windows-au.exe
C:\Users\12\AppData\Local\Temp\QE.EXE
C:\Users\12\AppData\Local\Temp\rn32.dll
C:\Users\12\AppData\Local\Temp\RtkBtMnt.exe
C:\Users\12\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\12\AppData\Local\Temp\tmp488C.tmp.exe
C:\Users\12\AppData\Local\Temp\Uninstall.exe
C:\Users\12\AppData\Local\Temp\yupdate-exec-yabrowser.exe
2015-11-30 10:22 - 2013-07-09 10:49 - 06098392 _____ () C:\temp\rpchost.exe
AlternateDataStreams: C:\Users\12:id
AlternateDataStreams: C:\ProgramData\Temp:4220A65C
AlternateDataStreams: C:\ProgramData\Temp:4CF61E54
AlternateDataStreams: C:\ProgramData\Temp:4D066AD2
AlternateDataStreams: C:\ProgramData\Temp:798A3728
AlternateDataStreams: C:\ProgramData\Temp:A42A9F39
AlternateDataStreams: C:\ProgramData\Temp:AB689DEA
AlternateDataStreams: C:\ProgramData\Temp:BB24555F
AlternateDataStreams: C:\ProgramData\Temp:BF14D50A
AlternateDataStreams: C:\ProgramData\Temp:D282699C
AlternateDataStreams: C:\ProgramData\Temp:DAFD38AE
AlternateDataStreams: C:\ProgramData\Temp:E36F5B57
AlternateDataStreams: C:\ProgramData\Temp:F3176E45

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\temp\rpchost.exe');
 TerminateProcessByName('c:\users\12\appdata\local\temp\qe.exe');
 TerminateProcessByName('c:\programdata\adobe\rdp\kl.exe');
 QuarantineFile('c:\temp\rpchost.exe','');
 QuarantineFile('c:\users\12\appdata\local\temp\qe.exe','');
 QuarantineFile('c:\programdata\adobe\rdp\kl.exe','');
 DeleteFile('C:\Users\12\AppData\Local\Temp\QE.EXE','32');
 DeleteFile('C:\ProgramData\Adobe\rdp\kl.exe','32');
 DeleteFile('c:\Temp\rpchost.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QE Java updater');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pppoe_client');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RPCHost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [336B96E60F620DC7E13AF0D03F41AB853903A0C4._service_run] "C:\Users\12\AppData\Local\Google\Chrome\Application\chrome.exe" --type=service
O4 - HKCU\..\Run: [QE Java updater] C:\Users\12\AppData\Local\Temp\QE.EXE
O4 - HKCU\..\Run: [RPCHost] c:\Temp\rpchost.exe
O4 - HKCU\..\Run: [pppoe_client] C:\ProgramData\Adobe\rdp\kl.exe
 

 
Сделайте новые логи по правилам (только пункт 2).
Ссылка на комментарий
Поделиться на другие сайты

Добрый вечер!

Жаль что довел Вас до слез)). Но .. к делу.

 

1. fixlist.txt   во вложении..

 

2. Скрипт выполнил и отправил. Вот ответ.

 

 

 

 
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

kl.exe,
bcqr00005.dat,
bcqr00006.dat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

rpchost.exe,
logsvcprov.exe,
bcqr00007.dat,
bcqr00008.dat - not-a-virus:RemoteAdmin.Win32.RMS.x

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

qe.exe,
bcqr00009.dat,
bcqr00010.dat - Trojan.Win32.Yakes.npdq

Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского
 
 
 
3. Пофиксить не удалось. Ни одной из перечисленных строк не нашел.( это значит не было, я хорошо посмотрел)))  )

 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Логи просьба не паковать в архивы.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:


CloseProcesses:

CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1419939530&from=sien&uid=WDCXWD2500BEVT-22ZCT0_WD-WXH80881774517745

CHR Extension: (Flash Player +) - C:\Users\12\AppData\Local\Google\Chrome\User Data\Default\Extensions\gbajclanpfajnmiiihhnllgfobjbhpem [2015-11-02]
2015-12-21 08:38 - 2015-12-22 22:46 - 00000000 ____D C:\Program Files\SourceForge inc

2015-12-21 11:15 - 2015-12-21 11:15 - 0153239 _____ () C:\Program Files\desk.jpg




Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Miks
      От Miks
      Зашифрованые файл.happynewyear@cyberfear.rarAddition.txtFRST.txt
      В пятницу 20 декабря заметил что на несколько пк файлы не открываются. Потом уже понял что подцепили шифровщик.
    • Alexey9009
      От Alexey9009
      Здравствуйте! Сначала зашифровали файлы и просили выкуп по электронной почте. Расширение файла было .azot, отправили им 20 тыс. рублей, и они дали нам ключ с расшифровкой файлов. Но на следующий день компьютер снова зашифровали, и на сей раз другим форматом. Пользоваться можем только браузером, все остальные файлы на компьютере зашифрованы, решения не нашли. файлы прикрепить не удается, разрешение файла напишу ниже:
      Doc1.docx.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Видео Регистратор.url.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      1C Предприятие.lnk.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Также я прикрепил документ, который открывается при открытии любого файла, сейчас уже страшно переходить хоть куда-то, куда они просят. Спасибо
      Новый текстовый документ.txt
       
    • Федор45
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
    • madlab
      От madlab
      На компьютере зашифрованы диски. В системе был установлен Kaspersky Small Office Security (сейчас он в системе не обнаруживается).
      При обращении к диску требуется ввести пароль.
      Системный диск не зашифрован. На нем встречаются файлы с расширением "ooo4ps".
      В архиве "UCPStorage.7z" есть зашифрованный (и, похоже, он же, но не зашифрованный) файл.
      Kaspersky Virus Removal Tool угроз не обнаружил.
      Есть ли возможность помочь?
      Спасибо.
      FRST.txt UCPStorage.7z
    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
×
×
  • Создать...