Надежда0505 0 Опубликовано 20 марта, 2016 Share Опубликовано 20 марта, 2016 причина не известна. все файлы стали типа .better_call_saul. CollectionLog-2016.03.20-10.57.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 20 марта, 2016 Share Опубликовано 20 марта, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\Y8tex2fIsvG6F.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\PoxjiIka\zemhalo.EXE',''); QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks\eventCrypttype.dll',''); QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\YbPack\CoolCtrlmod.dll',''); QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks\EC1CEB48.exe',''); QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe',''); QuarantineFile('C:\Program Files\YTDownloader\YTDownloader.exe',''); DeleteService('bd0001'); DeleteService('bd0004'); DeleteService('BDAntiExp'); DeleteService('BDEnhanceBoost'); DeleteService('BDSafeBrowser'); DeleteService('tijving'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\PoxjiIka\zemhalo.exe',''); TerminateProcessByName('c:\documents and settings\admin.microsof-2fc321\local settings\application data\atdworks\ec1ceb48.exe'); QuarantineFile('c:\documents and settings\admin.microsof-2fc321\local settings\application data\atdworks\ec1ceb48.exe',''); DeleteFile('c:\documents and settings\admin.microsof-2fc321\local settings\application data\atdworks\ec1ceb48.exe','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\PoxjiIka\zemhalo.exe','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\BDAntiExp.sys','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\BDEnhanceBoost.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\BDSafeBrowser.sys','32'); DeleteFile('C:\Program Files\BaiduEx\uninit.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduEx'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ap'); DeleteFile('C:\Program Files\YTDownloader\YTDownloader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MailRuUpdater'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32'); DeleteFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks\EC1CEB48.exe','32'); DeleteFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\YbPack\CoolCtrlmod.dll','32'); DeleteFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks\eventCrypttype.dll','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Omics'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YbPack'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ATDworks'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_AE3D69A5FF7EC3EB4BFBEB9C9AEF89C2'); DeleteFile('C:\WINDOWS\Tasks\Tempo Runner zemhdlo.job','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\PoxjiIka\zemhalo.EXE','32'); DeleteFile('C:\WINDOWS\Tasks\Y8tex2fIsvG6F.job','32'); DeleteFile('C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\Y8tex2fIsvG6F.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Ссылка на сообщение Поделиться на другие сайты
Надежда0505 0 Опубликовано 20 марта, 2016 Автор Share Опубликовано 20 марта, 2016 KLAN-3980539061Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. eventCrypttype.dll,CoolCtrlmod.dllПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.EC1CEB48.exe - Trojan.Win32.Diple.gnacДетектирование файла будет добавлено в следующее обновление.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Сейчас я должна снова через программу AutoLogger прислать вам архив? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 марта, 2016 Share Опубликовано 20 марта, 2016 Сейчас я должна снова через программу AutoLogger прислать вам архив? Да. + Меняйте все пароли. Ссылка на сообщение Поделиться на другие сайты
Надежда0505 0 Опубликовано 20 марта, 2016 Автор Share Опубликовано 20 марта, 2016 В эту же тему или создать новую? В эту же тему или создать новую? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 марта, 2016 Share Опубликовано 20 марта, 2016 В эту же тему или создать новую? Не надо плодить 10 однотипных тем. Продолжайте в этой теме. Ссылка на сообщение Поделиться на другие сайты
Надежда0505 0 Опубликовано 20 марта, 2016 Автор Share Опубликовано 20 марта, 2016 Все пароли, то есть прям все все? Вот новые логи. CollectionLog-2016.03.20-13.16.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 20 марта, 2016 Share Опубликовано 20 марта, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Надежда0505 0 Опубликовано 20 марта, 2016 Автор Share Опубликовано 20 марта, 2016 вот отчеты лог.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 20 марта, 2016 Share Опубликовано 20 марта, 2016 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKU\S-1-5-21-1078081533-1229272821-1417001333-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bdc77fdfb506787882d8916404ddae4f&text={searchTerms} HKU\S-1-5-21-1078081533-1229272821-1417001333-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bdc77fdfb506787882d8916404ddae4f&text={searchTerms} SearchScopes: HKU\S-1-5-21-1078081533-1229272821-1417001333-500 -> Moikrug URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200AAJS-00VWA0_WD-WCARW125006950069&ts=1434184656&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1078081533-1229272821-1417001333-500 -> Yandex URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200AAJS-00VWA0_WD-WCARW125006950069&ts=1434184656&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1078081533-1229272821-1417001333-500 -> yandex.ru-154751 URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200AAJS-00VWA0_WD-WCARW125006950069&ts=1434184656&type=default&q={searchTerms} BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => No File BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll => No File Toolbar: HKLM - No Name - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - No File CHR HKLM\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url> CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found> 2016-04-01 23:17 - 2016-04-01 23:17 - 04320054 _____ C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\2C00D4B62C00D4B6.bmp 2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt 2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt 2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt 2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt 2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt 2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt 2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt 2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt 2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt 2016-04-01 23:17 - 2016-04-01 23:17 - 00002696 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt 2016-03-19 14:28 - 2016-03-20 12:36 - 00000000 ____D C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\YbPack 2016-03-19 14:27 - 2016-03-20 12:36 - 00000000 ____D C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data\ATDworks 2016-03-18 16:51 - 2016-03-18 16:51 - 00042496 _____ C:\Documents and Settings\Admin.MICROSOF-2FC321\Рабочий стол\A7007100 2016-03-18 16:08 - 2016-03-19 15:22 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows 2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README9.txt 2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README8.txt 2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README7.txt 2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README6.txt 2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README5.txt 2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README4.txt 2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README3.txt 2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README2.txt 2016-03-18 16:08 - 2016-03-18 16:08 - 00002696 _____ C:\README10.txt C:\Documents and Settings\Admin.MICROSOF-2FC321\an.bat C:\Documents and Settings\Admin.MICROSOF-2FC321\sd.bat C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\35C.exe C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\EC1CEB48.exe C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\exereader.exe C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\qqpcmgr_v10.10.16434.218_45136_Silence.exe C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp33B.exe C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp33E.exe C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp346.exe C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp356.exe C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp369.exe C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Temp\tmp36F.exe Task: C:\WINDOWS\Tasks\bOoj7NrZjbCHcnCqEt5E7.job => C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\bOoj7NrZjbCHcnCqEt5E7.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\wn4fYGo4FODVOFmNaqK.job => C:\Documents and Settings\Admin.MICROSOF-2FC321\Application Data\wn4fYGo4FODVOFmNaqK.exe <==== ATTENTION AlternateDataStreams: C:\Documents and Settings\Admin.MICROSOF-2FC321\Local Settings\Application Data:wa [146] AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:B1FBBD09 [123] Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на сообщение Поделиться на другие сайты
Надежда0505 0 Опубликовано 20 марта, 2016 Автор Share Опубликовано 20 марта, 2016 вот Fixlog.txt ClearLNK-20.03.2016_15-18.log Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 20 марта, 2016 Share Опубликовано 20 марта, 2016 С расшифровкой не поможем Ссылка на сообщение Поделиться на другие сайты
Надежда0505 0 Опубликовано 20 марта, 2016 Автор Share Опубликовано 20 марта, 2016 То есть сейчас того, что зашифровало, на моем компьютере нет? А вы могли бы посоветовать, как можно файлы расшифровать? Через что или к кому можно обратиться? Почему не поможете? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 20 марта, 2016 Share Опубликовано 20 марта, 2016 Шифратора уже нет. Новые файлы шифроваться не будут. Вирлаб Лаборатории Касперского пытается оказать помощь в расшифровке только обладателям действующей лицензии на любой из своих продуктов. Ссылка на сообщение Поделиться на другие сайты
Надежда0505 0 Опубликовано 20 марта, 2016 Автор Share Опубликовано 20 марта, 2016 А если я приобрету лицензию, то расшифровать можно или, как я понимаю, уже невозможно? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти