зеленые замки на файлах

[wadimputnikov]

вчера появились зеленые замки на текстовых файлах, фотографиях, фильмах, музыкальных файлах, так же появился блокнот, в котором "ненавязчиво" просят денег, после чего типа снимут код. помогите пожалуйста фотографии жалко детей с младенчества фотографировал

CollectionLog-2016.01.12-17.54.zip

[Sandor]

Здравствуйте!
 
Через Панель управления - Удаление программ - удалите нежелательное ПО:

Mobogenie3
Remote Desktop Access (VuuPC)
Search App by Ask
Search Snacks 1.10.0.1
Software Version Updater
Video and Audio Plugin UBar
Web Security App version 15.85
yessearches Uninstall
Амиго
Аудио и видео скачивание
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\advplugin\backgroundsingleton.exe');
 TerminateProcessByName('c:\program files (x86)\video saver\svc\service.exe');
 StopService('VideoSaverSvc');
 QuarantineFile('C:\Users\Вадим\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','');
 QuarantineFile('C:\Program Files (x86)\Video Saver\zPnE_0l.exe','');
 QuarantineFile('C:\Program Files (x86)\advPlugin\8Z1cz8R.exe.exe','');
 QuarantineFile('C:\Users\Вадим\AppData\Roaming\newSI_2\s_inst.exe','');
 QuarantineFile('C:\Users\Вадим\AppData\Roaming\newSI_1497\s_inst.exe','');
 QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
 QuarantineFile('c:\program files (x86)\advplugin\backgroundsingleton.exe','');
 QuarantineFileF('C:\Users\Вадим\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\video saver\svc\service.exe', '');
 QuarantineFile('C:\Program Files (x86)\FFFFFFFF-1452525458-FFFF-FFFF-FFFFFFFFFFFF\knsj8205.tmpfs', '');
 QuarantineFile('C:\Program Files (x86)\FFFFFFFF-1452525458-FFFF-FFFF-FFFFFFFFFFFF\hnstC5A1.tmp', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_025010204\gmsd_ru_025010204.exe', '');
 QuarantineFile('C:\Users\Вадим\AppData\Roaming\Browsers\exe.resworb-mooronik.bat', '');
 QuarantineFile('C:\Users\Вадим\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
 QuarantineFile('C:\Users\Вадим\appdata\local\systemdir\setsearchm.exe', '');
 QuarantineFile('C:\Users\Вадим\appdata\local\system~1\setsea~1.exe', '');
 QuarantineFile('C:\Users\Вадим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Кinorооm Вrоwser.lnk', '');
 QuarantineFile('C:\Users\Вадим\Desktop\Тhе Sims 3. Supernaturаl.lnk', '');
 QuarantineFile('C:\Users\Вадим\Desktop\Тоmb Rаidеr.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Tomb Raider\Игрaть Tomb Rаider.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 3. Supernatural\Зaпустить игру.lnk', '');
 QuarantineFile('C:\Users\Вадим\AppData\Roaming\Browsers\exe.rehcnual3smis.bat', '');
 QuarantineFile('C:\Users\Вадим\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
 DeleteFile('c:\program files (x86)\advplugin\backgroundsingleton.exe','32');
 DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
 DeleteFile('C:\Users\Вадим\AppData\Roaming\newSI_1497\s_inst.exe','32');
 DeleteFile('C:\Users\Вадим\AppData\Roaming\newSI_2\s_inst.exe','32');
 DeleteFile('C:\Program Files (x86)\advPlugin\8Z1cz8R.exe.exe','32');
 DeleteFile('C:\Program Files (x86)\Video Saver\zPnE_0l.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','32');
 DeleteFile('C:\Users\Вадим\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('c:\program files (x86)\video saver\svc\service.exe', '32');
 DeleteFile('C:\Program Files (x86)\FFFFFFFF-1452525458-FFFF-FFFF-FFFFFFFFFFFF\knsj8205.tmpfs', '32');
 DeleteFile('C:\Program Files (x86)\FFFFFFFF-1452525458-FFFF-FFFF-FFFFFFFFFFFF\hnstC5A1.tmp', '32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_025010204\gmsd_ru_025010204.exe', '32');
 DeleteFile('C:\Users\Вадим\AppData\Roaming\Browsers\exe.resworb-mooronik.bat', '32');
 DeleteFile('C:\Users\Вадим\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
 DeleteFile('C:\Users\Вадим\appdata\local\systemdir\setsearchm.exe', '32');
 DeleteFile('C:\Users\Вадим\appdata\local\system~1\setsea~1.exe', '32');
 DeleteFile('C:\Users\Вадим\AppData\Roaming\Browsers\exe.rehcnual3smis.bat', '');
 DeleteFile('C:\Users\Вадим\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "newSI_1497.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "newSI_2.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SafebrRecovery Tool for Video Saver.jobowser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Recovery Tool for Video Saver2.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for advPlugin.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for advPlugin2.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "appdistrib" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
 DeleteService('VideoSaverSvc');
 DeleteService('pubunobezbt');
 DeleteService('wucotusy');
 DeleteFileMask('C:\Users\Вадим\appdata\local\systemdir', '*', true);
 DeleteDirectory('C:\Users\Вадим\appdata\local\systemdir');
 DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_025010204');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ossgifilmy');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)


Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[wadimputnikov]

не могу выполнить скрипт появляется синий экран с английским текстом и цифрами

[Sandor]

Выполните его в безопасном режиме.

[wadimputnikov]

ответ:KLAN-3603303852 Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

ClearLNK-12.01.2016_20-44.log

AdwCleanerS1.txt

Подскажите пожалуйста возможна ли расшифровка файлов?

[Sandor]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать").
• По окончанию сканирования снимите галочки со следующих строк:

  ***** [ Папки ] *****
  Папка Найдено : C:\Program Files (x86)\Mail.Ru
  Папка Найдено : C:\Program Files (x86)\Yandex
  Папка Найдено : C:\ProgramData\Mail.Ru
  Папка Найдено : C:\ProgramData\Yandex
  Папка Найдено : C:\Users\Вадим\AppData\Local\Mail.Ru
  Папка Найдено : C:\Users\Вадим\AppData\Local\MailRu
  Папка Найдено : C:\Users\Вадим\AppData\Local\Yandex
  Папка Найдено : C:\Users\Вадим\AppData\LocalLow\Yandex
  Папка Найдено : C:\Users\Вадим\AppData\Roaming\Yandex
  Папка Найдено : C:\Users\Вадим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
  
  ***** [ Реестр ] *****
  
  Ключ Найдено : HKLM\SOFTWARE\Microsoft\MediaPlayer\ShimInclusionList\browser.exe
  
  

• Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

 

Затем:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено 12 января, 2016 пользователем Sandor