Перейти к содержанию
Правила раздела

Подцепил вирус. очень прошу помочь!

Дима Матюшевский

Автор Дима Матюшевский
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Дима Матюшевский

Дима Матюшевский

Опубликовано
Опубликовано

Здравствуйте. У меня проблема с которой я если честно первый раз сталкиваюсь. В общем на компьютере в какую бы я папку не зашел все файлы зашифрованы и сам ярлык с замочком. И в каждой папке вот такой вот текст ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt . Я очень надеюсь что вы мне поможете заранее спасибо!

 

Сообщение от модератора Mark D. Pearlstone
Тема перемещена из раздела "Компьютерная помощь"
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 56
  • Создана
  • Последний ответ

Топ авторов темы

  • Дима Матюшевский

    29

  • thyrex

    11

  • mike 1

    8

  • Sandor

    7

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

thyrex
thyrex

А прочесть предложение дальше никак? Там все расписано

Roman_Five
Roman_Five

((  По окончанию проверки нажмите на кнопку "Сохранить результаты". Затем сохраните полученный лог как текстовой файл (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

thyrex
thyrex

Да быть такого не может. У всех дает сохранить, а у Вас нет ) Сделайте лог AdwCleaner

Изображения в теме

Дима Матюшевский

Дима Матюшевский

Опубликовано
  • Автор
Опубликовано

скачал virus removal tool проверил нашло 4 вируса я их удалил программа попросила перезагрузки перегрузил щас опять перепроверился после перегрузки углоз не обнаружено но каждый файл все равно зашифрован с замочком. дальше ннадо по 2,3 пункту идти?

Ссылка на комментарий
Поделиться на другие сайты
Дима Матюшевский

Дима Матюшевский

Опубликовано
  • Автор
Опубликовано

вот я приступил к выполнению 2-го пункта скачал сборщик логов запустил и дальше написано Обязательно выгрузите защитное ПО это значит выключить антивирус?

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Дима\AppData\Local\SystemDir\nethost.exe','');
 DelBHO('{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}');
 QuarantineFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL','');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\Browsers\exe.resworbym.bat','');
 QuarantineFile('C:\Program Files (x86)\Common Files\829A98B3-1E1E-40B9-8808-8678F68C3651\04D19DEB-221B-480A-9E90-C4115DDCEA84.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 DeleteService('cssmk');
 QuarantineFile('C:\Program Files (x86)\skinapp\cssmk.sys','');
 SetServiceStart('condef', 4);
 DeleteService('condef');
 QuarantineFile('C:\Windows\system32\drivers\condef.sys','');
 TerminateProcessByName('c:\users\Дима\appdata\roaming\odnuqnxvqtacmfpq4n\tor\tor.exe');
 DeleteFile('C:\Users\Дима\AppData\Roaming\OdnUqnxVqtAcmfpq4n\tor\SSLEAY32.dll','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\OdnUqnxVqtAcmfpq4n\tor\LIBEAY32.dll','32');
 DeleteFile('C:\Windows\system32\drivers\condef.sys','32');
 DeleteFile('C:\Program Files (x86)\skinapp\cssmk.sys','32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GameCenterMailRu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 DeleteFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_10D69FFF07423B28A6AD2498E3CAD66B');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorProject');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 DeleteFile('C:\Program Files (x86)\Common Files\829A98B3-1E1E-40B9-8808-8678F68C3651\04D19DEB-221B-480A-9E90-C4115DDCEA84.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\Browsers\exe.resworbym.bat','32');
 DeleteFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL','32');
 DeleteFile('C:\Windows\Tasks\MyBrowser.job','32');
 DeleteFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\MyBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
Дима Матюшевский

Дима Матюшевский

Опубликовано
  • Автор
Опубликовано

 newvirus@kaspersky.com это майл ру? 


Re: [KLAN-3577670199]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

krbupdater-utility.exe,
condef.sys

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

krbupdater-utility.exe,
condef.sys

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 1/10/2016 9:14:30 PM
To: newvirus@kaspersky.com
Subject: 




-- 
Дима Матюшевский

 

Сообщение от модератора Mark D. Pearlstone
Почта пользователя удалена.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Разницы между почтой newvirus@kaspersky.com и mail.ru не видите никакой? Коль сами далеки от нормальной работы с компьютером найдите кого-либо более продвинутого в своем окружении, чтобы он мог Вам помогать выполнять указания

Ссылка на комментарий
Поделиться на другие сайты
Дима Матюшевский

Дима Матюшевский

Опубликовано
  • Автор
Опубликовано

Ну так это оно и есть

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению. И вот я отправил этот лог

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kubanrentgen
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов
      Автор kubanrentgen
      Утром 6.12.2022 на компьютере обнаружили зашифрованные файлы.
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов.
      Addition.txt FRST.txt Образцы.rar virus.rar
    • dmitriiytkin10iz10
      [РЕШЕНО] подцепил вирус майнер Tool.BtcMine.2780
      Автор dmitriiytkin10iz10
      пробовал удалить через Dr Web но он не удалился а винду сносить не хочется нужна помощь
    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Роман Суслов
      Прошу помощи в восстановлении данных после шифровальщика KREMLIN
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
×
×
  • Создать...