Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Подцепил вирус. очень прошу помочь!

Дима Матюшевский

Автор Дима Матюшевский
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Дима Матюшевский Постоялец

Дима Матюшевский

Опубликовано
Опубликовано

Здравствуйте. У меня проблема с которой я если честно первый раз сталкиваюсь. В общем на компьютере в какую бы я папку не зашел все файлы зашифрованы и сам ярлык с замочком. И в каждой папке вот такой вот текст ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt . Я очень надеюсь что вы мне поможете заранее спасибо!

 

Сообщение от модератора Mark D. Pearlstone
Тема перемещена из раздела "Компьютерная помощь"
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 56
  • Создана
  • Последний ответ

Топ авторов темы

  • Дима Матюшевский

    29

  • thyrex

    11

  • mike 1

    8

  • Sandor

    7

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

thyrex
thyrex

А прочесть предложение дальше никак? Там все расписано

Roman_Five
Roman_Five

((  По окончанию проверки нажмите на кнопку "Сохранить результаты". Затем сохраните полученный лог как текстовой файл (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

thyrex
thyrex

Да быть такого не может. У всех дает сохранить, а у Вас нет ) Сделайте лог AdwCleaner

Изображения в теме

Дима Матюшевский Постоялец

Дима Матюшевский

Опубликовано
  • Автор
Опубликовано

скачал virus removal tool проверил нашло 4 вируса я их удалил программа попросила перезагрузки перегрузил щас опять перепроверился после перегрузки углоз не обнаружено но каждый файл все равно зашифрован с замочком. дальше ннадо по 2,3 пункту идти?

Ссылка на комментарий
Поделиться на другие сайты
Дима Матюшевский Постоялец

Дима Матюшевский

Опубликовано
  • Автор
Опубликовано

вот я приступил к выполнению 2-го пункта скачал сборщик логов запустил и дальше написано Обязательно выгрузите защитное ПО это значит выключить антивирус?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Дима\AppData\Local\SystemDir\nethost.exe','');
 DelBHO('{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}');
 QuarantineFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL','');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\Browsers\exe.resworbym.bat','');
 QuarantineFile('C:\Program Files (x86)\Common Files\829A98B3-1E1E-40B9-8808-8678F68C3651\04D19DEB-221B-480A-9E90-C4115DDCEA84.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 DeleteService('cssmk');
 QuarantineFile('C:\Program Files (x86)\skinapp\cssmk.sys','');
 SetServiceStart('condef', 4);
 DeleteService('condef');
 QuarantineFile('C:\Windows\system32\drivers\condef.sys','');
 TerminateProcessByName('c:\users\Дима\appdata\roaming\odnuqnxvqtacmfpq4n\tor\tor.exe');
 DeleteFile('C:\Users\Дима\AppData\Roaming\OdnUqnxVqtAcmfpq4n\tor\SSLEAY32.dll','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\OdnUqnxVqtAcmfpq4n\tor\LIBEAY32.dll','32');
 DeleteFile('C:\Windows\system32\drivers\condef.sys','32');
 DeleteFile('C:\Program Files (x86)\skinapp\cssmk.sys','32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GameCenterMailRu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 DeleteFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_10D69FFF07423B28A6AD2498E3CAD66B');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorProject');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 DeleteFile('C:\Program Files (x86)\Common Files\829A98B3-1E1E-40B9-8808-8678F68C3651\04D19DEB-221B-480A-9E90-C4115DDCEA84.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\Browsers\exe.resworbym.bat','32');
 DeleteFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL','32');
 DeleteFile('C:\Windows\Tasks\MyBrowser.job','32');
 DeleteFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\MyBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
Дима Матюшевский Постоялец

Дима Матюшевский

Опубликовано
  • Автор
Опубликовано

 newvirus@kaspersky.com это майл ру? 


Re: [KLAN-3577670199]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

krbupdater-utility.exe,
condef.sys

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

krbupdater-utility.exe,
condef.sys

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 1/10/2016 9:14:30 PM
To: newvirus@kaspersky.com
Subject: 




-- 
Дима Матюшевский

 

Сообщение от модератора Mark D. Pearlstone
Почта пользователя удалена.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Разницы между почтой newvirus@kaspersky.com и mail.ru не видите никакой? Коль сами далеки от нормальной работы с компьютером найдите кого-либо более продвинутого в своем окружении, чтобы он мог Вам помогать выполнять указания

Ссылка на комментарий
Поделиться на другие сайты
Дима Матюшевский Постоялец

Дима Матюшевский

Опубликовано
  • Автор
Опубликовано

Ну так это оно и есть

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению. И вот я отправил этот лог

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • dmitriiytkin10iz10
      [РЕШЕНО] подцепил вирус майнер Tool.BtcMine.2780
      Автор dmitriiytkin10iz10
      пробовал удалить через Dr Web но он не удалился а винду сносить не хочется нужна помощь
    • Orbeatt
      Прошу помочь расшифровать. Есть Исходник и расшифрованный вариант от злоумышленника.
      Автор Orbeatt
      В архиве 2 файла упакованные шифровальщиком и они же расшифрованные злоумышленником. Прошу помочь со средством для расшифровки остальных файлов
      files2.rar
       
    • Alexey82
      [РЕШЕНО] Прошу помощи с удалением Trojan:Win32/Kepavll!rfn
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
    • aleksey76
      Поймал шифровальщик с отсылкой на этот адрес Rdpdik6@gmail.com. Прошу помощи в расшифровке.
      Автор aleksey76
      архив.7z
    • m1pod
      Вирус google Updater.exe прошу помощи!
      Автор m1pod
      Доброго времени точно такая же проблема, как я понял это троян. Простыми антивирусами не удаляется. Не знаю что делать. Выполнил всё вышеперечисленное, прикрепляю архив
      DESKTOP-7C276PF_2025-03-03_23-49-45_v4.99.10v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...