bigalex 0 Опубликовано 21 января, 2016 Share Опубликовано 21 января, 2016 Не открываются файлы фото. Зашифровано под именем : email-hontekilla@aol.com.ver-CL 1.1.0.0.id-LMMNNNOOPPPQQRRSSSSTTUUVVWWWWWXXYYZZ-30.08.2015 21@35@235658282.randomname-ABBCCDDEEFFFFFGGHHIIIJJJJKKKLL.MNN. Вкладываю файл протокола : CollectionLog-2016.01.22-01.52.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 22 января, 2016 Share Опубликовано 22 января, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Александр\AppData\Local\Microsoft\Extensions\extsetup.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.xoferif.bat',''); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Kometa\kometaup.exe',''); DeleteFile('C:\Users\Александр\AppData\Local\Kometa\kometaup.exe','32'); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xujkmmuagm','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KRB Updater Utility','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\elcwwfkqde','command'); DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.xoferif.bat','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\71727400-8B72-4186-ABFB-E7FE185159B0','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\23982DEE-9B74-457A-A2A9-753414ED6BF6','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64'); DeleteFile('C:\Users\Александр\AppData\Local\Microsoft\Extensions\extsetup.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64'); DeleteFile('C:\Windows\system32\Tasks\SafeBrowser','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи Ссылка на сообщение Поделиться на другие сайты
bigalex 0 Опубликовано 22 января, 2016 Автор Share Опубликовано 22 января, 2016 Без изменения. Отчет о работе прикрепил. ClearLNK-23.01.2016_01-27.log Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 22 января, 2016 Share Опубликовано 22 января, 2016 Новые логи автологгера где? Ссылка на сообщение Поделиться на другие сайты
bigalex 0 Опубликовано 22 января, 2016 Автор Share Опубликовано 22 января, 2016 Здравствуйте, выполнил скрип. Выполнил проверку повторно. Обновленный файл логов. CollectionLog-2016.01.23-03.19.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 23 января, 2016 Share Опубликовано 23 января, 2016 Сделайте лог полного сканирования МВАМ Ссылка на сообщение Поделиться на другие сайты
bigalex 0 Опубликовано 24 января, 2016 Автор Share Опубликовано 24 января, 2016 пересылаю лог полного сканирования МВАМ Можно удалить данные угрозы? лог.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 января, 2016 Share Опубликовано 24 января, 2016 Удаляйте + Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
bigalex 0 Опубликовано 24 января, 2016 Автор Share Опубликовано 24 января, 2016 Произвел сканирование прогой Farbar Recovery Scan Tool. Пересылаю отчет. отчеты.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 января, 2016 Share Опубликовано 24 января, 2016 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM-x32\...\Run: [NPSStartup] => [X] CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-1330076699-3526488666-461608263-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=98016256_hao_pg BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-1330076699-3526488666-461608263-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File CHR NewTab: DFLTUSER -> "chrome-extension://gndaciceccgapjhpniecknjlmmlanaem/visual-bookmarks.html" CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (Smart Browser) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-07-08] S2 QQPCRTP; "C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QQPCRtp.exe" -r [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys [X] S1 TsDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TsDefenseBT64.sys [X] 2015-08-30 21:35 - 2015-08-30 21:35 - 0000065 _____ () C:\Program Files (x86)\ZMYLHEJKDN.SKK Task: {4B8182CF-C107-4E06-86EC-EE90A142F1A8} - \Microsoft\Windows\71727400-8B72-4186-ABFB-E7FE185159B0 -> No File <==== ATTENTION Task: {7303A61E-5274-43C8-B5E5-945D3F662530} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION Task: {B25988E3-DCDC-4D9B-85FF-9603D772B039} - \KRB Updater Utility -> No File <==== ATTENTION Task: {B34E94E5-DD52-4EBF-A23B-48FBB2B6926F} - \SafeBrowser -> No File <==== ATTENTION Task: {BB2635DF-FC21-41A0-A5C6-31F6434B3CF0} - \extsetup -> No File <==== ATTENTION Task: {CDE3DF34-4E97-46DA-B846-0BE635115508} - \Microsoft\Windows\23982DEE-9B74-457A-A2A9-753414ED6BF6 -> No File <==== ATTENTION Task: {E77AD807-BD94-4BB2-AA7D-77898EA387D7} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Pirates.lnk AlternateDataStreams: C:\ProgramData\TEMP:58A5270D AlternateDataStreams: C:\ProgramData\TEMP:D282699C AlternateDataStreams: C:\Users\Все пользователи\TEMP:58A5270D AlternateDataStreams: C:\Users\Все пользователи\TEMP:D282699C HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на сообщение Поделиться на другие сайты
bigalex 0 Опубликовано 24 января, 2016 Автор Share Опубликовано 24 января, 2016 Сделал всё согласно Вашей инструкции. Высылаю лог. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 января, 2016 Share Опубликовано 24 января, 2016 С расшифровкой не поможем Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти