Перейти к содержанию

зеленые замки на файлах


Рекомендуемые сообщения

вчера появились зеленые замки на текстовых файлах, фотографиях, фильмах, музыкальных файлах, так же появился блокнот, в котором "ненавязчиво" просят денег, после чего типа снимут код. помогите пожалуйста фотографии жалко детей с младенчества фотографировал

CollectionLog-2016.01.12-17.54.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!
 
Через Панель управления - Удаление программ - удалите нежелательное ПО:

Mobogenie3
Remote Desktop Access (VuuPC)
Search App by Ask
Search Snacks 1.10.0.1
Software Version Updater
Video and Audio Plugin UBar
Web Security App version 15.85
yessearches Uninstall
Амиго
Аудио и видео скачивание
Служба автоматического обновления программ



Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\advplugin\backgroundsingleton.exe');
 TerminateProcessByName('c:\program files (x86)\video saver\svc\service.exe');
 StopService('VideoSaverSvc');
 QuarantineFile('C:\Users\Вадим\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','');
 QuarantineFile('C:\Program Files (x86)\Video Saver\zPnE_0l.exe','');
 QuarantineFile('C:\Program Files (x86)\advPlugin\8Z1cz8R.exe.exe','');
 QuarantineFile('C:\Users\Вадим\AppData\Roaming\newSI_2\s_inst.exe','');
 QuarantineFile('C:\Users\Вадим\AppData\Roaming\newSI_1497\s_inst.exe','');
 QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
 QuarantineFile('c:\program files (x86)\advplugin\backgroundsingleton.exe','');
 QuarantineFileF('C:\Users\Вадим\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\video saver\svc\service.exe', '');
 QuarantineFile('C:\Program Files (x86)\FFFFFFFF-1452525458-FFFF-FFFF-FFFFFFFFFFFF\knsj8205.tmpfs', '');
 QuarantineFile('C:\Program Files (x86)\FFFFFFFF-1452525458-FFFF-FFFF-FFFFFFFFFFFF\hnstC5A1.tmp', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_025010204\gmsd_ru_025010204.exe', '');
 QuarantineFile('C:\Users\Вадим\AppData\Roaming\Browsers\exe.resworb-mooronik.bat', '');
 QuarantineFile('C:\Users\Вадим\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
 QuarantineFile('C:\Users\Вадим\appdata\local\systemdir\setsearchm.exe', '');
 QuarantineFile('C:\Users\Вадим\appdata\local\system~1\setsea~1.exe', '');
 QuarantineFile('C:\Users\Вадим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Кinorооm Вrоwser.lnk', '');
 QuarantineFile('C:\Users\Вадим\Desktop\Тhе Sims 3. Supernaturаl.lnk', '');
 QuarantineFile('C:\Users\Вадим\Desktop\Тоmb Rаidеr.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Tomb Raider\Игрaть Tomb Rаider.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 3. Supernatural\Зaпустить игру.lnk', '');
 QuarantineFile('C:\Users\Вадим\AppData\Roaming\Browsers\exe.rehcnual3smis.bat', '');
 QuarantineFile('C:\Users\Вадим\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
 DeleteFile('c:\program files (x86)\advplugin\backgroundsingleton.exe','32');
 DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
 DeleteFile('C:\Users\Вадим\AppData\Roaming\newSI_1497\s_inst.exe','32');
 DeleteFile('C:\Users\Вадим\AppData\Roaming\newSI_2\s_inst.exe','32');
 DeleteFile('C:\Program Files (x86)\advPlugin\8Z1cz8R.exe.exe','32');
 DeleteFile('C:\Program Files (x86)\Video Saver\zPnE_0l.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','32');
 DeleteFile('C:\Users\Вадим\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('c:\program files (x86)\video saver\svc\service.exe', '32');
 DeleteFile('C:\Program Files (x86)\FFFFFFFF-1452525458-FFFF-FFFF-FFFFFFFFFFFF\knsj8205.tmpfs', '32');
 DeleteFile('C:\Program Files (x86)\FFFFFFFF-1452525458-FFFF-FFFF-FFFFFFFFFFFF\hnstC5A1.tmp', '32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_025010204\gmsd_ru_025010204.exe', '32');
 DeleteFile('C:\Users\Вадим\AppData\Roaming\Browsers\exe.resworb-mooronik.bat', '32');
 DeleteFile('C:\Users\Вадим\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
 DeleteFile('C:\Users\Вадим\appdata\local\systemdir\setsearchm.exe', '32');
 DeleteFile('C:\Users\Вадим\appdata\local\system~1\setsea~1.exe', '32');
 DeleteFile('C:\Users\Вадим\AppData\Roaming\Browsers\exe.rehcnual3smis.bat', '');
 DeleteFile('C:\Users\Вадим\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "newSI_1497.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "newSI_2.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafebrRecovery Tool for Video Saver.jobowser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Recovery Tool for Video Saver2.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for advPlugin.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for advPlugin2.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "appdistrib" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
 DeleteService('VideoSaverSvc');
 DeleteService('pubunobezbt');
 DeleteService('wucotusy');
 DeleteFileMask('C:\Users\Вадим\appdata\local\systemdir', '*', true);
 DeleteDirectory('C:\Users\Вадим\appdata\local\systemdir');
 DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_025010204');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ossgifilmy');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)


Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

ответ:KLAN-3603303852 Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского


ClearLNK-12.01.2016_20-44.log

AdwCleanerS1.txt


Подскажите пожалуйста возможна ли расшифровка файлов?

Ссылка на комментарий
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:

    ***** [ Папки ] *****
    Папка Найдено : C:\Program Files (x86)\Mail.Ru
    Папка Найдено : C:\Program Files (x86)\Yandex
    Папка Найдено : C:\ProgramData\Mail.Ru
    Папка Найдено : C:\ProgramData\Yandex
    Папка Найдено : C:\Users\Вадим\AppData\Local\Mail.Ru
    Папка Найдено : C:\Users\Вадим\AppData\Local\MailRu
    Папка Найдено : C:\Users\Вадим\AppData\Local\Yandex
    Папка Найдено : C:\Users\Вадим\AppData\LocalLow\Yandex
    Папка Найдено : C:\Users\Вадим\AppData\Roaming\Yandex
    Папка Найдено : C:\Users\Вадим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
    
    ***** [ Реестр ] *****
    
    Ключ Найдено : HKLM\SOFTWARE\Microsoft\MediaPlayer\ShimInclusionList\browser.exe
    
    
  • Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

 

Затем:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • skyinfire
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
×
×
  • Создать...