Ника Иванченко Опубликовано 26 декабря, 2015 Опубликовано 26 декабря, 2015 Добрый день. Произошла неприятность и подцепился вирус-дошифровщик, меняет файлы формата txt, mp3, jpeg и прочее на формат .fc0bedd1 и добавляет блокнот. Скрипты и скрин прилагаю ниже. CollectionLog-2015.12.26-14.13.zip
mike 1 Опубликовано 26 декабря, 2015 Опубликовано 26 декабря, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Windows\csrss.exe',''); QuarantineFile('C:\Windows\svchost.exe',''); StopService('proiuctprodownyoadup'); StopService('honic32'); StopService('ApplicationHosting'); DeleteService('FinwarmSvc'); DeleteService('proiuctprodownyoadup'); DeleteService('honic32'); DeleteService('ApplicationHosting'); TerminateProcessByName('C:\Users\Лирия\AppData\Local\Siltechnology.exe'); QuarantineFile('C:\Users\Лирия\AppData\Local\Siltechnology.exe',''); TerminateProcessByName('C:\Program Files\HonController\honic.exe'); QuarantineFile('C:\Program Files\HonController\honic.exe',''); TerminateProcessByName('c:\programdata\applicationhosting\applicationhosting.exe'); QuarantineFile('c:\programdata\applicationhosting\applicationhosting.exe',''); DeleteFile('c:\programdata\applicationhosting\applicationhosting.exe','32'); DeleteFile('C:\Program Files\HonController\honic.exe','32'); DeleteFile('C:\Users\Лирия\AppData\Local\Siltechnology.exe','32'); DeleteFile('C:\ProgramData\ApplicationHosting\ApplicationHosting.exe','32'); DeleteFile('C:\Windows\svchost.exe','32'); DeleteFile('C:\Users\Лирия\AppData\Roaming\27f48bc55ee6bc9fcdd4d21b9bc0a239\encrypter.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EncrypterEpta','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TorProject','command'); DeleteFile('C:\Users\Лирия\AppData\Roaming\27f48bc55ee6bc9fcdd4d21b9bc0a239\tor\tor.exe','32'); DeleteFile('C:\Windows\Tasks\4eafeb29-800e-4c0c-b826-caa72a9d2631-11.job','32'); DeleteFile('C:\Windows\Tasks\4eafeb29-800e-4c0c-b826-caa72a9d2631-3.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\Windows\Tasks\b1b3acb4-b5c4-487e-95e1-823364d5fd26-10_user.job','32'); DeleteFile('C:\Windows\Tasks\b1b3acb4-b5c4-487e-95e1-823364d5fd26-5.job','32'); DeleteFile('C:\Windows\Tasks\b1b3acb4-b5c4-487e-95e1-823364d5fd26-5_user.job','32'); DeleteFile('C:\Windows\Tasks\b1b3acb4-b5c4-487e-95e1-823364d5fd26-6.job','32'); DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-10_user.job','32'); DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-11.job','32'); DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-2.job','32'); DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-5.job','32'); DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-5_user.job','32'); DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-6.job','32'); DeleteFile('C:\Windows\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-7.job','32'); DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','32'); DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','32'); DeleteFile('C:\Windows\Tasks\ZDJKZ.job','32'); DeleteFile('C:\Windows\system32\Tasks\4eafeb29-800e-4c0c-b826-caa72a9d2631-11','64'); DeleteFile('C:\Windows\system32\Tasks\4eafeb29-800e-4c0c-b826-caa72a9d2631-3','64'); DeleteFile('C:\Windows\system32\Tasks\Advanced-System Protector_startup','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\b1b3acb4-b5c4-487e-95e1-823364d5fd26-5','64'); DeleteFile('C:\Windows\system32\Tasks\b1b3acb4-b5c4-487e-95e1-823364d5fd26-6','64'); DeleteFile('C:\Windows\system32\Tasks\chrome5','64'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64'); DeleteFile('C:\Windows\system32\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-11','64'); DeleteFile('C:\Windows\system32\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-2','64'); DeleteFile('C:\Windows\system32\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-5','64'); DeleteFile('C:\Windows\system32\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-6','64'); DeleteFile('C:\Windows\system32\Tasks\d38db812-4030-4fb3-8b93-4ae54a36890a-7','64'); DeleteFile('C:\Windows\system32\Tasks\egtraupddt','64'); DeleteFile('C:\Windows\system32\Tasks\Soft installer','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','64'); DeleteFile('C:\Windows\csrss.exe','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Ника Иванченко Опубликовано 26 декабря, 2015 Автор Опубликовано 26 декабря, 2015 (изменено) на почту поступило следующее: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. csrss.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.aac Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление. svchost.exe Вредоносный код в файле не обнаружен. Siltechnology.exe, honic.exe Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию. С уважением, Лаборатория Касперского "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru" AdwCleanerS2.txt ClearLNK-26.12.2015_16-30.log Изменено 26 декабря, 2015 пользователем Ника Иванченко
mike 1 Опубликовано 26 декабря, 2015 Опубликовано 26 декабря, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ника Иванченко Опубликовано 26 декабря, 2015 Автор Опубликовано 26 декабря, 2015 Сделано: Addition.txt FRST.txt
mike 1 Опубликовано 26 декабря, 2015 Опубликовано 26 декабря, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-4227640008-1890208895-577429045-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKU\S-1-5-21-4227640008-1890208895-577429045-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1PgtQXIMUhbK15OoURc5qiztn2flBRoQ4ro_BVFnKypECeaMvT07l6U15j664QeolhsaeESLjvcmWYJMCMBNgGQYWx8x00RYAabUMm3BYWhUZ6YzLDvJh1fR2LG4GsVYf4bA,,&q={searchTerms} HKU\S-1-5-21-4227640008-1890208895-577429045-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://babyuser.net/ HKU\S-1-5-21-4227640008-1890208895-577429045-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1PgtQXIMUhbK15OoURc5qiztn2flBRoQ4ro_BVFnKypECeaMvT07l6U15j664QeolhsaeESLjvcmWYJMCMBNgGQYWx8x00RYAabUMm3BYWhUZ6YzLDvJh1fR2LG4GsVYf4bA,,&q={searchTerms} HKU\S-1-5-21-4227640008-1890208895-577429045-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuK-pqbkLbcxo1PgtQXIMUhbK15OoURc5qiztn2flBRoQ4ro_BVFnKypECeaMvT07l6U15j664QeolhsaeESLjvcmWYJMCMBNgGQYWx8x00RYAabUMm3BYWhUZ6YzLDvJh1fR2LG4GsVYf4bA,,&q={searchTerms} BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-4227640008-1890208895-577429045-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-4227640008-1890208895-577429045-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-4227640008-1890208895-577429045-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File CHR HKLM\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml CHR HKLM-x32\...\Chrome\Extension: [bgomnbpelpcdicbnicimghcecemjpbef] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fidibeiehaokohhbnkdjmkcapgnndfkc] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hhjmihalfdochhinhfogciaafppfgpjj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [imkmhbbgjgkbkpajmnfeebdodfcelmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jkagakiplhpgacmegfblcddbckenmiio] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [kjlpdpfmpoggibmjgmbaoidffidifakh] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [kppacdmmddediahklmcgkgdhhoojemmd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [mofcklffffgbdgnoipdokcclbhomkpie] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx S1 {55dce8ba-9dec-4013-937e-adbf9317d990}w64; system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys [X] 2015-12-24 16:24 - 2015-12-25 23:28 - 00000000 ____D C:\Users\Лирия\AppData\Roaming\WindowsUpdater 2015-12-24 16:24 - 2015-12-24 16:24 - 01625824 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\Windows\libeay32.dll 2015-12-24 16:24 - 2015-12-24 16:24 - 00608117 _____ C:\Windows\libcurl-4.dll 2015-12-24 16:24 - 2015-12-24 16:24 - 00073216 _____ C:\Windows\taskmgr.exe 2015-12-24 16:24 - 2015-12-24 16:24 - 00054784 _____ (MingW-W64 Project. All rights reserved.) C:\Windows\libwinpthread-1.dll 2015-12-24 16:24 - 2015-12-24 16:24 - 00000000 ___SD C:\Windows\PLAG 2015-12-24 16:24 - 2015-12-24 16:24 - 00000000 ____D C:\Windows\Azart 2015-12-25 19:34 - 2015-12-26 13:10 - 00000000 ____D C:\Users\Лирия\AppData\Local\CrashDumps 2015-12-24 18:28 - 2015-12-25 23:28 - 00000000 ____D C:\Program Files\Common Files\4ltazc1y 2015-12-24 17:28 - 2015-12-24 20:28 - 00000000 ____D C:\Program Files\HonController 2015-12-24 17:28 - 2015-12-24 17:28 - 00000187 _____ C:\Users\Лирия\AppData\Local\Siltechnology.exe.config 2015-12-24 16:32 - 2015-12-25 14:54 - 00000000 ____D C:\Users\Лирия\AppData\Roaming\CryptoDB 2015-12-24 16:25 - 2015-12-24 16:25 - 00000000 ____D C:\Program Files (x86)\Genie Soft 2015-01-20 21:51 - 2014-12-03 12:56 - 50335864 ____H (Opera Software) C:\Program Files (x86)\оpеrа.bаt.exe Task: {090EA031-0638-4706-B8ED-21492917C1E9} - \egtraupddt -> No File <==== ATTENTION HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\OptimizerMonitor => ""="service" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EncrypterEpta] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TorProject] Folder: C:\FRST\Quarantine Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
mike 1 Опубликовано 26 декабря, 2015 Опубликовано 26 декабря, 2015 Пишите запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти