Перейти к содержанию

Заражение всего компьютера вирусом с расширением cbf

Иван siemens
 Поделиться

Рекомендуемые сообщения

Иван siemens

Иван siemens

Опубликовано
Опубликовано

Здравствуйте уважаемые. 29 мая 2016 года ко мне пришло ожидаемое мною письмо с суда, после открытия его все ярлыки сменились на белые листики. Все файлы на компьютере полностью испорчены. 
Пробовал с сайта скачивать утилиты по раскодировке с сайта Касперского, но безуспешно. 

Помогите пожалуйста, я теперь не представляю, как мне быть.

Вот имя одного из файлов: email-cryptolocker@aol.com.ver-CL 1.3.0.0.id-GIIJLMNNOPQRRSSTUVWWXZAABCDEFFFGHIJJ-30.05.2016 10@55@042483965.randomname-RSTUUVWWXYYYZAABCDDDEEFGHHHIIJ.LLL.cbf

 

thyrex

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



 QuarantineFile('C:\Program Files\UCBrowser\Application\update_task.exe','');

 DeleteService('LiveUpdateSvc');

 SetServiceStart('UCBrowserSvc', 4);

 DeleteService('UCBrowserSvc');

 TerminateProcessByName('c:\program files\ucbrowser\application\ucservice.exe');

 QuarantineFile('c:\program files\ucbrowser\application\ucservice.exe','');

 TerminateProcessByName('c:\program files\ucbrowser\application\ucbrowser.exe');

 QuarantineFile('c:\program files\ucbrowser\application\ucbrowser.exe','');

 DeleteFile('c:\program files\ucbrowser\application\ucbrowser.exe','32');

 DeleteFile('c:\program files\ucbrowser\application\ucservice.exe','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\5.6.11651.1011\chrome.dll','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\5.6.11651.1011\chrome_child.dll','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\5.6.11651.1011\chrome_elf.dll','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\5.6.11651.1011\libegl.dll','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\5.6.11651.1011\libglesv2.dll','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\5.6.11651.1011\UCProxySDK.dll','32');

 DeleteFile('LiveUpdateSvc.sys','32');

 DeleteFile('C:\Program Files\UCBrowser\Application\update_task.exe','32');

 DeleteFile('C:\windows\Tasks\UCBrowserUpdater.job','32');

 DeleteFile('C:\windows\system32\Tasks\UCBrowserUpdater','32');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.
Будет выполнена перезагрузка компьютера.

 


Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)


 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Иван siemens

Иван siemens

Опубликовано
  • Автор
Опубликовано

thyrex, все сделал и отправил по емайлу. Буду ждать ответа.
Спасибо за помощь.

thyrex

thyrex

Опубликовано
Опубликовано

Новые логи давно пора сделать :)

Иван siemens

Иван siemens

Опубликовано
  • Автор
Опубликовано (изменено)

Уважаемый thyrex. Мне никто еще не ответил с того адреса. Сам жду не дождусь... :)

Или же мне логи сделать сейчас, независимо, ответили мне или нет с Касперского?

Изменено пользователем Иван siemens
thyrex

thyrex

Опубликовано
Опубликовано

Собирать новые логи можно и нужно не дожидаясь ответа

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Иван siemens

Иван siemens

Опубликовано
  • Автор
Опубликовано

Выполнил ваши рекомендации и вот результат прикрепляю.

Desktop.zip

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1887249428-2126418045-1455006535-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
OPR Extension: (No Name) - C:\Users\Владелец\AppData\Roaming\Opera Software\Opera Stable\Extensions\mafpbclkdiejmpjnmioihcafdnlbmkco [2015-10-11]
OPR Extension: (PhoenixGuard v2.0 - бесплатный антивирус) - C:\Users\Владелец\AppData\Roaming\Opera Software\Opera Stable\Extensions\nkooappjeoniffjmoplbagpngedkckpl [2015-10-11]
2016-04-27 23:38 - 2016-04-27 23:38 - 00000000 ____D C:\Users\Владелец\AppData\Local\UCBrowser
2016-05-30 10:55 - 2016-05-30 10:55 - 0000082 _____ () C:\Program Files\FDOGDOXNSV.QLS
2015-04-16 22:19 - 2015-04-16 22:19 - 0000042 _____ () C:\Users\Владелец\AppData\Roaming\B423C06B70611A0639BC
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\Temp:07BF512B [149]
AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [274]
AlternateDataStreams: C:\ProgramData\Temp:A064CECC [274]
AlternateDataStreams: C:\ProgramData\Temp:D1B5B4F1 [130]
AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B [149]
AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A [274]
AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC [274]
AlternateDataStreams: C:\Users\Все пользователи\Temp:D1B5B4F1 [130]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
thyrex

thyrex

Опубликовано
Опубликовано

C расшифровкой помочь не сможем

Иван siemens

Иван siemens

Опубликовано
  • Автор
Опубликовано (изменено)

Что же мне делать, возможно посоветуете куда то обратиться?

Изменено пользователем Иван siemens

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...