Подцепил вирус. очень прошу помочь!

[Дима Матюшевский]

Здравствуйте. У меня проблема с которой я если честно первый раз сталкиваюсь. В общем на компьютере в какую бы я папку не зашел все файлы зашифрованы и сам ярлык с замочком. И в каждой папке вот такой вот текст ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt . Я очень надеюсь что вы мне поможете заранее спасибо!

 

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Компьютерная помощь"

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Дима Матюшевский]

скачал virus removal tool проверил нашло 4 вируса я их удалил программа попросила перезагрузки перегрузил щас опять перепроверился после перегрузки углоз не обнаружено но каждый файл все равно зашифрован с замочком. дальше ннадо по 2,3 пункту идти?

[thyrex]

Конечно

[Дима Матюшевский]

вот я приступил к выполнению 2-го пункта скачал сборщик логов запустил и дальше написано Обязательно выгрузите защитное ПО это значит выключить антивирус?

[thyrex]

А прочесть предложение дальше никак? Там все расписано

[Дима Матюшевский]

я полностью выполнил все что требовалось и вот файл с логами CollectionLog-2016.01.10-23.33.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Дима\AppData\Local\SystemDir\nethost.exe','');
 DelBHO('{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}');
 QuarantineFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL','');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\Browsers\exe.resworbym.bat','');
 QuarantineFile('C:\Program Files (x86)\Common Files\829A98B3-1E1E-40B9-8808-8678F68C3651\04D19DEB-221B-480A-9E90-C4115DDCEA84.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 DeleteService('cssmk');
 QuarantineFile('C:\Program Files (x86)\skinapp\cssmk.sys','');
 SetServiceStart('condef', 4);
 DeleteService('condef');
 QuarantineFile('C:\Windows\system32\drivers\condef.sys','');
 TerminateProcessByName('c:\users\Дима\appdata\roaming\odnuqnxvqtacmfpq4n\tor\tor.exe');
 DeleteFile('C:\Users\Дима\AppData\Roaming\OdnUqnxVqtAcmfpq4n\tor\SSLEAY32.dll','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\OdnUqnxVqtAcmfpq4n\tor\LIBEAY32.dll','32');
 DeleteFile('C:\Windows\system32\drivers\condef.sys','32');
 DeleteFile('C:\Program Files (x86)\skinapp\cssmk.sys','32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GameCenterMailRu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 DeleteFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_10D69FFF07423B28A6AD2498E3CAD66B');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorProject');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 DeleteFile('C:\Program Files (x86)\Common Files\829A98B3-1E1E-40B9-8808-8678F68C3651\04D19DEB-221B-480A-9E90-C4115DDCEA84.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\Browsers\exe.resworbym.bat','32');
 DeleteFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL','32');
 DeleteFile('C:\Windows\Tasks\MyBrowser.job','32');
 DeleteFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\MyBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Дима Матюшевский]

 newvirus@kaspersky.com это майл ру? 

Re: [KLAN-3577670199]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

krbupdater-utility.exe,
condef.sys

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

krbupdater-utility.exe,
condef.sys

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 1/10/2016 9:14:30 PM
To: newvirus@kaspersky.com
Subject: 




-- 
Дима Матюшевский

 

Сообщение от модератора Mark D. Pearlstone

Почта пользователя удалена.

[thyrex]

Разницы между почтой newvirus@kaspersky.com и mail.ru не видите никакой? Коль сами далеки от нормальной работы с компьютером найдите кого-либо более продвинутого в своем окружении, чтобы он мог Вам помогать выполнять указания

[Дима Матюшевский]

прошу прощение просто у меня такое впервые! вот сделал все по вашим указаниям ClearLNK-11.01.2016_00-18.log

[mike 1]

Новые логи Автологгера где?

[Дима Матюшевский]

Вот сверху это то что и было в папке LOG

[mike 1]

Сверху я вижу только лог  ClearLNK-11.01.2016_00-18.log, а новых логов Автологгера я не вижу.  

[Дима Матюшевский]

Ну так это оно и есть

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению. И вот я отправил этот лог