ingvar78 0 Опубликовано 31 мая, 2016 Share Опубликовано 31 мая, 2016 (изменено) Доброй ночи, подцепили давинчи, возможна ли дэшифровка \ как вылечить подскажите пожалуйста? CollectionLog-2016.06.01-00.41.zip Addition.txt FRST.txt Изменено 31 мая, 2016 пользователем ingvar78 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 31 мая, 2016 Share Опубликовано 31 мая, 2016 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Funmoods MiPony 2.0.2 Mobogenie Ticno Downloader Амиго Интернет Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\programdata\windows\csrss.exe'); TerminateProcessByName('c:\programdata\csrss\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe', ''); QuarantineFile('c:\programdata\csrss\csrss.exe', ''); QuarantineFile('C:\Users\Жи гада\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', ''); QuarantineFile('C:\Users\Жи гада\AppData\Local\Temp\mhwqf.exe', ''); QuarantineFile('C:\Users\Жи гада\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ANGZHDTP\sp54127[1].exe', ''); QuarantineFile('C:\Users\Жи гада\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Войти в Интернет.lnk', ''); QuarantineFile('C:\Users\Жи гада\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет\Войти в Интернет.lnk', ''); QuarantineFile('C:\Users\Жи гада\Desktop\Войти в Интернет.lnk', ''); DeleteFile('C:\Windows\Tasks\r0g9u19uh5.job', '64'); ExecuteFile('schtasks.exe', '/delete /TN "{AD0E6630-976E-431B-87DC-CCF0A4E093A8}" /F', 0, 15000, true); DeleteFile('c:\programdata\windows\csrss.exe', '32'); DeleteFile('c:\programdata\csrss\csrss.exe', '32'); DeleteFile('C:\Users\Жи гада\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '32'); DeleteFile('C:\Users\Жи гада\AppData\Local\Temp\mhwqf.exe', '32'); DeleteFile('C:\Users\Жи гада\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ANGZHDTP\sp54127[1].exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на сообщение Поделиться на другие сайты
ingvar78 0 Опубликовано 1 июня, 2016 Автор Share Опубликовано 1 июня, 2016 (изменено) логи. KLAN-4374827562 Спасибо большое, за поддержку. ClearLNK-01.06.2016_01-37.log CollectionLog-2016.06.01-01.53.zip Изменено 1 июня, 2016 пользователем ingvar78 Ссылка на сообщение Поделиться на другие сайты
ingvar78 0 Опубликовано 1 июня, 2016 Автор Share Опубликовано 1 июня, 2016 Подскажите пожалуйста, есть ли возможность расшифровать ? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 2 июня, 2016 Share Опубликовано 2 июня, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
ingvar78 0 Опубликовано 2 июня, 2016 Автор Share Опубликовано 2 июня, 2016 сканы Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 2 июня, 2016 Share Опубликовано 2 июня, 2016 Через Панель управления - Удаление программ - удалите нежелательное ПО: BrowseMark DealPly Download Manager Packages Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FyDzytB0Fzz0CyCtDyCtBtN0D0Tzu0CtAyEtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1361524828 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FyDzytB0Fzz0CyCtDyCtBtN0D0Tzu0CtAyEtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1361524828 SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FyDzytB0Fzz0CyCtDyCtBtN0D0Tzu0CtAyEtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1361524828 SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FyDzytB0Fzz0CyCtDyCtBtN0D0Tzu0CtAyEtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1361524828 SearchScopes: HKU\S-1-5-21-2455070954-465789065-3712708018-1000 -> yandex.ru-210326 URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FyDzytB0Fzz0CyCtDyCtBtN0D0Tzu0CtAyEtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1361524828 BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO-x32: DealPly -> {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} -> C:\Program Files (x86)\DealPly\DealPlyIE.dll => No File Toolbar: HKU\S-1-5-21-2455070954-465789065-3712708018-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File CHR Extension: (Funmoods Chat) - C:\Users\Жи гада\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbjciahceamgodcoidkjpchnokgfpphh [2014-08-29] CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\6A69~1\AppData\Local\funmoods.crx [2012-12-08] CHR HKU\S-1-5-21-2455070954-465789065-3712708018-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\6A69~1\AppData\Local\funmoods.crx [2012-12-08] CHR HKLM-x32\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\6A69~1\AppData\Local\funmoods.crx [2012-12-08] 2016-06-01 01:31 - 2016-06-01 01:31 - 00000178 _____ C:\Users\Жи гада\Desktop\Искать в Интернете.url 2016-05-30 18:26 - 2016-06-01 01:34 - 00000000 __SHD C:\Users\Все пользователи\Csrss 2016-05-30 18:26 - 2016-06-01 01:34 - 00000000 __SHD C:\ProgramData\Csrss 2016-05-30 18:25 - 2016-05-30 18:25 - 01843254 _____ C:\Users\Жи гада\AppData\Roaming\7AED922C7AED922C.bmp 2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README9.txt 2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README8.txt 2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README7.txt 2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README6.txt 2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README5.txt 2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README4.txt 2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README3.txt 2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README2.txt 2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README10.txt 2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README1.txt 2016-05-30 18:08 - 2016-06-01 01:34 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-05-30 18:08 - 2016-06-01 01:34 - 00000000 __SHD C:\ProgramData\Windows 2016-06-02 10:53 - 2014-02-12 09:43 - 00000298 _____ C:\Windows\Tasks\Funmoods.job 2016-06-01 01:30 - 2013-03-17 10:02 - 00000000 ____D C:\Users\Жи гада\AppData\Roaming\Ticno 2016-06-01 01:30 - 2013-03-17 10:02 - 00000000 ____D C:\Program Files (x86)\Ticno C:\Users\Жи гада\AppData\Local\Temp\29793uninstall.exe C:\Users\Жи гада\AppData\Local\Temp\B0C3C6FA.exe C:\Users\Жи гада\AppData\Local\Temp\ba62-3268-3d12-5ddb.exe Task: {2C2AE2D1-15A2-49AF-9FE5-69ACA742D629} - System32\Tasks\DealPly => C:\Users\6A69~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION Task: {3558C183-F5B7-4B81-AA86-3C387C4C2894} - System32\Tasks\Yahoo! Search Updater => Wscript.exe //B "C:\Users\Жи гада\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.26.12\..\updt.js" <==== ATTENTION Task: {CD0C45F9-992C-44BC-82C5-5675DE83FDD5} - System32\Tasks\DSite => C:\Users\6A69~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION Task: {DB7B2381-6901-4321-9329-229300C36D77} - System32\Tasks\Funmoods => C:\Users\Жи гада\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe [2013-04-12] () <==== ATTENTION Task: {FA3FBF8E-7334-4306-B17A-842A9078212A} - System32\Tasks\DealPlyUpdate => C:\Program Files (x86)\DealPly\DealPlyUpdate.exe [2013-01-16] (DealPly) <==== ATTENTION Task: C:\Windows\Tasks\Funmoods.job => C:\Users\6A69~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE <==== ATTENTION FirewallRules: [TCP Query User{C1B603B0-9D85-436E-855C-C5CA21AB10A2}C:\users\жи гада\appdata\roaming\ticno\downloader\downloader.exe] => (Allow) C:\users\жи гада\appdata\roaming\ticno\downloader\downloader.exe FirewallRules: [UDP Query User{9513069B-4D53-4A57-9535-E0D86D416BA5}C:\users\жи гада\appdata\roaming\ticno\downloader\downloader.exe] => (Allow) C:\users\жи гада\appdata\roaming\ticno\downloader\downloader.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
ingvar78 0 Опубликовано 2 июня, 2016 Автор Share Опубликовано 2 июня, 2016 фикс_лог Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 2 июня, 2016 Share Опубликовано 2 июня, 2016 С расшифровкой не поможем. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти