NickM 2 Опубликовано 10 октября, 2016 Share Опубликовано 10 октября, 2016 Здравствуйте уважаемые! Пользователь собственноручно запустил шифрование из вложения эл.письма. Хотелось бы вычистить "хвосты адвари", а также узнать - расшифровка возможна? CollectionLog-2016.10.10-13.12.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 10 октября, 2016 Share Опубликовано 10 октября, 2016 Здравствуйте! 1. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 2. Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
NickM 2 Опубликовано 10 октября, 2016 Автор Share Опубликовано 10 октября, 2016 ClearLNK-10.10.2016_13-40.log Addition.txt FRST.txt Shortcut.txt ClearLNK-10.10.2016_13-40.log Addition.txt FRST.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 10 октября, 2016 Share Опубликовано 10 октября, 2016 Если письмо сохранилось, то отправьте мне его на почту. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 10 октября, 2016 Share Опубликовано 10 октября, 2016 Через Панель управления - Удаление программ - удалите нежелательное ПО: Video Plugin Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: CloseProcesses: GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION CHR Extension: (News Tab) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-08-18] CHR Extension: (Geek Safe) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-10-07] OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-10-01] OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-09-21] OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb [2016-08-18] OPR Extension: (Geek Safe) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-10-07] OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-09-27] S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X] <==== ATTENTION R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-08-16] (DotC United Inc) <==== ATTENTION 2016-10-07 08:20 - 2016-10-07 08:20 - 04320054 _____ C:\Users\User\AppData\Roaming\92EA8C7D92EA8C7D.bmp 2016-10-06 13:51 - 2016-10-07 08:23 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-10-06 13:51 - 2016-10-07 08:23 - 00000000 __SHD C:\ProgramData\Windows Task: {114E6055-8300-42D9-ADA3-0F431D0F029B} - \Microsoft\Windows\8AC109B25FDDAAA44117B7F58A56A3AD -> No File <==== ATTENTION Task: {1323AB49-E184-4655-AC44-51FA3FA428F6} - \Microsoft\Windows\AE5C1CCA0-8055-4063-89C7-237557D932EE -> No File <==== ATTENTION Task: {603660CD-9FD4-4ECE-9EBC-5867C5B107B7} - \MailRuUpdater -> No File <==== ATTENTION Task: {6B66B4C0-8C37-4252-901C-BCC084D5DD05} - \Microsoft\Windows\8AC109B25FDDAAA44117B7F58A56A3ADSB -> No File <==== ATTENTION Task: {B977CFCF-02E5-4487-AF80-9A4712DB9FDA} - \Microsoft\8AC109B25FDDAAA44117B7F58A56A3AD -> No File <==== ATTENTION Task: {C54A35CF-F98B-4518-8F29-CC666D811035} - \Microsoft\8AC109B25FDDAAA44117B7F58A56A3ADSB -> No File <==== ATTENTION FirewallRules: [{2FA9AE63-25FC-4FD3-BEFB-A1130305806A}] => (Allow) C:\Users\User\AppData\Local\Amigo\Application\amigo.exe FirewallRules: [{3AE17D6B-76D8-49A5-A8B1-32F5B7E9B40D}] => (Allow) C:\Program Files\VideoPlugin\FilterService\VideoPlugin.FilterServer.exe FirewallRules: [{EA6FC573-187D-436F-B23D-4C38B48B35C5}] => (Allow) C:\Users\User\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{59E2BF2E-1EC7-4F99-BF85-754CB3192C5D}] => (Allow) C:\Users\User\AppData\Local\Temp\MPCOnline\MPCDownload.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
NickM 2 Опубликовано 10 октября, 2016 Автор Share Опубликовано 10 октября, 2016 (изменено) Fixlog.txt Fixlog.txt Изменено 10 октября, 2016 пользователем NickM Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 10 октября, 2016 Share Опубликовано 10 октября, 2016 Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS. Ссылка на сообщение Поделиться на другие сайты
NickM 2 Опубликовано 10 октября, 2016 Автор Share Опубликовано 10 октября, 2016 WIN-9VOKQSNRM7B_2016-10-10_14-28-27.zip WIN-9VOKQSNRM7B_2016-10-10_14-28-27.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 10 октября, 2016 Share Опубликовано 10 октября, 2016 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v3.87.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c SREG zoo %Sys32%\DRIVERS\MPCKPT.SYS bl 26EDB33E64748246DCD3CFF7C66DC4A3 60136 addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A43B3AF29BD80D317C2573E559D492B80849F461C48FA4D6FE87295DAB12C2D77A42FC7062273 64 MPC delall %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCPROTECTSERVICE.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CNAIBNEHBBINOOHHJAFKNIHMLOPDHHIP\230.1.2.35\NEWS TAB deldir %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\ chklst delvir czoo areg В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве. Повторите контрольный образ автозапуска uVS (как в сообщении №8) Ссылка на сообщение Поделиться на другие сайты
NickM 2 Опубликовано 10 октября, 2016 Автор Share Опубликовано 10 октября, 2016 на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите контрольный образ автозапуска uVS (как в сообщении №8) WIN-9VOKQSNRM7B_2016-10-10_15-23-17.zip WIN-9VOKQSNRM7B_2016-10-10_15-23-17.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 10 октября, 2016 Share Опубликовано 10 октября, 2016 Если письмо сохранилось, то отправьте мне его на почтуОтправили? Адварь и следы вымогателя очищены. С расшифровкой помочь не сможем. Смените важные пароли. Ссылка на сообщение Поделиться на другие сайты
NickM 2 Опубликовано 10 октября, 2016 Автор Share Опубликовано 10 октября, 2016 Если письмо сохранилось, то отправьте мне его на почтуОтправили? Да, на e-mail из профиля. Спасибо! Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 11 октября, 2016 Share Опубликовано 11 октября, 2016 Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525. Смените все пароли Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти