Помогите восстановить файлы после email-trojanencoder@aol.com.ver-CL 1.3.0.0.id

[gesina]

Сделал. Пробую AdwCleaner (by ToolsLib) или ClearLNK также вылетают

[Sandor]

Скачайте и запустите DelFix, отметьте Remove desinfection tools и Create registry backup и нажмите Run.

 

После этого еще раз скачайте и попробуйте собрать лог сканирования AdwCleaner.

Изменено 5 сентября, 2016 пользователем Sandor

[gesina]

Сделал. Все тоже самое.

[Sandor]

Повторите еще раз логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[gesina]

повторное сканироване

report2.log

CollectionLog-2016.09.06-11.01.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Users\inomarki\AppData\Roaming\WindowsUpdate\mobsync.exe', '');
 DeleteFile('C:\Users\inomarki\AppData\Roaming\WindowsUpdate\mobsync.exe', '32');
 DelBHO('{10921475-03CE-4E04-90CE-E2E7EF20C814}');
 DelCLSID('{B19ED566-D419-470b-B111-3C89040BC027}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qyhmhc');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','amigo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','MyDesktop');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Еще раз повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 6 сентября, 2016 пользователем Sandor

[gesina]

KLAN-4971546706[/size]

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected[/size]

 

Прикладываю отправленный файл. пароль:[/size]infected[/size]

CollectionLog-2016.09.06-12.06.zip

Изменено 6 сентября, 2016 пользователем Sandor

[Sandor]

Теперь чисто. Пробуйте восстановить файлы средствами Windows.

Будьте внимательны, это не значит "откатить" систему на предыдущую точку восстановления!

[gesina]

Теневые копии первым делом попробовал. Не их, хоть и защита системы включена.

[gesina]

Добрый день, что теперь надо, чтобы восстановить файлы? Теневых копий нет.

[Sandor]

Увы, помочь больше нечем.

Ознакомьтесь со статьей.