Перейти к содержанию

Вирус-дошифровщик fc0bedd1


Рекомендуемые сообщения

Добрый день. Произошла неприятность и подцепился вирус-дошифровщик, меняет файлы формата txt, mp3, jpeg и прочее на формат .fc0bedd1 и добавляет блокнот. 
Скрипты и скрин прилагаю ниже.

CollectionLog-2015.12.26-14.13.zip

post-36735-0-68529800-1451130636_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Windows\csrss.exe','');
 QuarantineFile('C:\Windows\svchost.exe','');
 StopService('proiuctprodownyoadup');
 StopService('honic32');
 StopService('ApplicationHosting');
 DeleteService('FinwarmSvc');
 DeleteService('proiuctprodownyoadup');
 DeleteService('honic32');
 DeleteService('ApplicationHosting');
 TerminateProcessByName('C:\Users\Лирия\AppData\Local\Siltechnology.exe');
 QuarantineFile('C:\Users\Лирия\AppData\Local\Siltechnology.exe','');
 TerminateProcessByName('C:\Program Files\HonController\honic.exe');
 QuarantineFile('C:\Program Files\HonController\honic.exe','');
 TerminateProcessByName('c:\programdata\applicationhosting\applicationhosting.exe');
 QuarantineFile('c:\programdata\applicationhosting\applicationhosting.exe','');
 DeleteFile('c:\programdata\applicationhosting\applicationhosting.exe','32');
 DeleteFile('C:\Program Files\HonController\honic.exe','32');
 DeleteFile('C:\Users\Лирия\AppData\Local\Siltechnology.exe','32');
 DeleteFile('C:\ProgramData\ApplicationHosting\ApplicationHosting.exe','32');
 DeleteFile('C:\Windows\svchost.exe','32');
 DeleteFile('C:\Users\Лирия\AppData\Roaming\27f48bc55ee6bc9fcdd4d21b9bc0a239\encrypter.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EncrypterEpta','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TorProject','command');
 DeleteFile('C:\Users\Лирия\AppData\Roaming\27f48bc55ee6bc9fcdd4d21b9bc0a239\tor\tor.exe','32');
 DeleteFile('C:\Windows\Tasks\4eafeb29-800e-4c0c-b826-caa72a9d2631-11.job','32');
 DeleteFile('C:\Windows\Tasks\4eafeb29-800e-4c0c-b826-caa72a9d2631-3.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Windows\Tasks\b1b3acb4-b5c4-487e-95e1-823364d5fd26-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\b1b3acb4-b5c4-487e-95e1-823364d5fd26-5.job','32');
 DeleteFile('C:\Windows\Tasks\b1b3acb4-b5c4-487e-95e1-823364d5fd26-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\b1b3acb4-b5c4-487e-95e1-823364d5fd26-6.job','32');
 DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-11.job','32');
 DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-2.job','32');
 DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-5.job','32');
 DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-6.job','32');
 DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-7.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','32');
 DeleteFile('C:\Windows\Tasks\ZDJKZ.job','32');
 DeleteFile('C:\Windows\system32\Tasks\4eafeb29-800e-4c0c-b826-caa72a9d2631-11','64');
 DeleteFile('C:\Windows\system32\Tasks\4eafeb29-800e-4c0c-b826-caa72a9d2631-3','64');
 DeleteFile('C:\Windows\system32\Tasks\Advanced-System Protector_startup','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Windows\system32\Tasks\b1b3acb4-b5c4-487e-95e1-823364d5fd26-5','64');
 DeleteFile('C:\Windows\system32\Tasks\b1b3acb4-b5c4-487e-95e1-823364d5fd26-6','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteFile('C:\Windows\system32\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-11','64');
 DeleteFile('C:\Windows\system32\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-2','64');
 DeleteFile('C:\Windows\system32\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-5','64');
 DeleteFile('C:\Windows\system32\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-6','64');
 DeleteFile('C:\Windows\system32\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-7','64');
 DeleteFile('C:\Windows\system32\Tasks\egtraupddt','64');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','64');
 DeleteFile('C:\Windows\csrss.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты

 

на почту поступило следующее:

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

 

csrss.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.aac

 

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

 

svchost.exe

 

Вредоносный код в файле не обнаружен.

 

Siltechnology.exe,

honic.exe

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"

AdwCleanerS2.txt

ClearLNK-26.12.2015_16-30.log

Изменено пользователем Ника Иванченко
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4227640008-1890208895-577429045-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-4227640008-1890208895-577429045-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1PgtQXIMUhbK15OoURc5qiztn2flBRoQ4ro_BVFnKypECeaMvT07l6U15j664QeolhsaeESLjvcmWYJMCMBNgGQYWx8x00RYAabUMm3BYWhUZ6YzLDvJh1fR2LG4GsVYf4bA,,&q={searchTerms}
HKU\S-1-5-21-4227640008-1890208895-577429045-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://babyuser.net/
HKU\S-1-5-21-4227640008-1890208895-577429045-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1PgtQXIMUhbK15OoURc5qiztn2flBRoQ4ro_BVFnKypECeaMvT07l6U15j664QeolhsaeESLjvcmWYJMCMBNgGQYWx8x00RYAabUMm3BYWhUZ6YzLDvJh1fR2LG4GsVYf4bA,,&q={searchTerms}
HKU\S-1-5-21-4227640008-1890208895-577429045-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1PgtQXIMUhbK15OoURc5qiztn2flBRoQ4ro_BVFnKypECeaMvT07l6U15j664QeolhsaeESLjvcmWYJMCMBNgGQYWx8x00RYAabUMm3BYWhUZ6YzLDvJh1fR2LG4GsVYf4bA,,&q={searchTerms}
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4227640008-1890208895-577429045-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-4227640008-1890208895-577429045-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-4227640008-1890208895-577429045-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKLM\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [bgomnbpelpcdicbnicimghcecemjpbef] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fidibeiehaokohhbnkdjmkcapgnndfkc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hhjmihalfdochhinhfogciaafppfgpjj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [imkmhbbgjgkbkpajmnfeebdodfcelmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkagakiplhpgacmegfblcddbckenmiio] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kjlpdpfmpoggibmjgmbaoidffidifakh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kppacdmmddediahklmcgkgdhhoojemmd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mofcklffffgbdgnoipdokcclbhomkpie] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx
S1 {55dce8ba-9dec-4013-937e-adbf9317d990}w64; system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys [X]
2015-12-24 16:24 - 2015-12-25 23:28 - 00000000 ____D C:\Users\Лирия\AppData\Roaming\WindowsUpdater
2015-12-24 16:24 - 2015-12-24 16:24 - 01625824 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Windows\libeay32.dll
2015-12-24 16:24 - 2015-12-24 16:24 - 00608117 _____ C:\Windows\libcurl-4.dll
2015-12-24 16:24 - 2015-12-24 16:24 - 00073216 _____ C:\Windows\taskmgr.exe
2015-12-24 16:24 - 2015-12-24 16:24 - 00054784 _____ (MingW-W64 Project. All rights reserved.) C:\Windows\libwinpthread-1.dll
2015-12-24 16:24 - 2015-12-24 16:24 - 00000000 ___SD C:\Windows\PLAG
2015-12-24 16:24 - 2015-12-24 16:24 - 00000000 ____D C:\Windows\Azart
2015-12-25 19:34 - 2015-12-26 13:10 - 00000000 ____D C:\Users\Лирия\AppData\Local\CrashDumps
2015-12-24 18:28 - 2015-12-25 23:28 - 00000000 ____D C:\Program Files\Common Files\4ltazc1y
2015-12-24 17:28 - 2015-12-24 20:28 - 00000000 ____D C:\Program Files\HonController
2015-12-24 17:28 - 2015-12-24 17:28 - 00000187 _____ C:\Users\Лирия\AppData\Local\Siltechnology.exe.config
2015-12-24 16:32 - 2015-12-25 14:54 - 00000000 ____D C:\Users\Лирия\AppData\Roaming\CryptoDB
2015-12-24 16:25 - 2015-12-24 16:25 - 00000000 ____D C:\Program Files (x86)\Genie Soft
2015-01-20 21:51 - 2014-12-03 12:56 - 50335864 ____H (Opera Software) C:\Program Files (x86)\оpеrа.bаt.exe
Task: {090EA031-0638-4706-B8ED-21492917C1E9} - \egtraupddt -> No File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\OptimizerMonitor => ""="service"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EncrypterEpta]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TorProject]
Folder: C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Salieri
      От Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • 2life
      От 2life
      Здравствуйте, Kaspersky Virus Removal Tool находит в памяти HEUR:Trojan.Multi.Powedon.d, процедура лечения с перезагрузкой не помогает.
       
      Заранее спасибо
       
      Прикладываю репорт Kaspersky Virus Removal Tool
      2024.12.08_22.46.43.zip
    • civiero
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • buizilka_sx
      От buizilka_sx
      Сделал проверку нашелся вирус NET:MALWARE.URL в doctorweb попытался удалить не получилось помогите пожалуйста удалить его 
    • Алексей Брижан
      От Алексей Брижан
      Операционная система    Microsoft Windows 10 Home
      версия программы 21.3.10.391 (m)
      Подхватил вирус майнинг, при фоновом режиме не включая никакие программы температура процессора стала 96 градусов, до этого было 55.
      при открытие диспетчера задач температура падает до 55 градусов при его сворачивании поднимается до 96. делал полную проверку, не нашел ( неоднократно)
      видеокарта работает в штатном режиме.
      термопаста поменяна, процессор i5 12450h, видеокарта gtx 3060, система охлаждения чистая.
      касперский не находит его, когда начинается проверка температура падает до 70 градусов. но после так же поднимается
      вольтаж процессора тоже нормальный.
      могу хоть видео записать, проблема серьезная, переустанавливать винду не могу слишком много документов.
×
×
  • Создать...