mike 1 1 093 Опубликовано 14 октября, 2016 Share Опубликовано 14 октября, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM\...\Run: [msiestp] => msiestp.exe FF Extension: (MegaSmiles) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\itinfo@it-life.com [2013-12-16] [not signed] FF Extension: (Speed Analysis 3) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\speedanalysis03@SpeedAnalysis.com.xpi [2014-01-31] [not signed] FF Extension: (WebAlta Toolbar) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD24}.xpi [2014-01-23] [not signed] FF Extension: (CinemaLoad) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{deb24184-8668-490a-af07-b4fd27016097}.xpi [2014-01-23] [not signed] FF Extension: (SimilarSites) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{E71B541F-5E72-5555-A47C-E47863195841} [2014-01-31] [not signed] FF Extension: (SweetPacks Toolbar for Firefox) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2013-03-06] [not signed] CHR Extension: (Speed Analysis 3) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mbmpjbkgemhgalmeiigcdljkccfcafoj [2015-05-20] [UpdateUrl: hxxps://dl.addonupdater.com/speedanalysis03/update.chrome.xml] <==== ATTENTION S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X] 2013-12-16 14:12 - 2013-12-16 14:12 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2013-12-16 13:33 - 2013-12-09 14:59 - 0049664 _____ () C:\Documents and Settings\admin\Application Data\closer.exe 2013-12-16 13:34 - 2013-12-16 13:34 - 0000006 _____ () C:\Documents and Settings\admin\Application Data\smw_inst 2013-09-19 20:10 - 2013-09-19 20:09 - 0030894 _____ () C:\Documents and Settings\admin\Application Data\speedanalysis.ico 2016-06-07 13:32 - 2016-06-07 14:31 - 0005949 _____ () C:\Documents and Settings\admin\Application Data\svchost.exe.tmp Folder: C:\Documents and Settings\admin\Local Settings\Temp C:\Documents and Settings\admin\Local Settings\Temp\БТР_.exe C:\Documents and Settings\admin\Local Settings\Temp\default.exe StandardProfile\AuthorizedApplications: [C:\Documents and Settings\admin\Application Data\svchost.exe] => Enabled:svchost.exe StartBatch: @echo off set a7z=%ProgramFiles%\7-Zip\7z.exe set otkuda=%systemdrive%\frst\Quarantine set kuda=C:\ "%a7z%" a "%kuda%\quarantine.7z" -pvirus -mhe "%otkuda%\*" Etc. EndBatch: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. После окончания работы FRST будет создан архив quarantine.7z на диске С. Полученный архив отправьте на этот почтовый ящик: mike1@avp.su. В заголовке письма напишите "Карантин" и укажите ссылку на вашу тему. Цитата Ссылка на сообщение Поделиться на другие сайты
NervusRerum 0 Опубликовано 15 октября, 2016 Автор Share Опубликовано 15 октября, 2016 Fixlog прикрепляю, quarantine.7z отправил. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 15 октября, 2016 Share Опубликовано 15 октября, 2016 C:\Documents and Settings\admin\Local Settings\Temp\bat36969.bat Пришлите этот файл в архиве. Цитата Ссылка на сообщение Поделиться на другие сайты
NervusRerum 0 Опубликовано 15 октября, 2016 Автор Share Опубликовано 15 октября, 2016 Выслал на mike1@avp.su с темой письма "Карантин (файл bat36969.bat в архиве)" Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 15 октября, 2016 Share Опубликовано 15 октября, 2016 Лучше к сообщению в архиве прикрепите его. На почту файл не дошел. Цитата Ссылка на сообщение Поделиться на другие сайты
NervusRerum 0 Опубликовано 15 октября, 2016 Автор Share Опубликовано 15 октября, 2016 Файл bat36969.bat в архиве bat36969.7z Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 15 октября, 2016 Share Опубликовано 15 октября, 2016 Запустите Farbar Recovery Scan Tool двойным щелчком от имени Администратора. Когда программа запустится, скопируйте следующую информацию в окно поиска: d2bc.exe Нажмите кнопку Search Files и подождите. Программа создаст лог-файл (Search.txt). Пожалуйста, прикрепите его в следующем сообщении! Цитата Ссылка на сообщение Поделиться на другие сайты
NervusRerum 0 Опубликовано 15 октября, 2016 Автор Share Опубликовано 15 октября, 2016 Готово Search.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 15 октября, 2016 Share Опубликовано 15 октября, 2016 Антивирус не удалял какие-либо файлы? Цитата Ссылка на сообщение Поделиться на другие сайты
NervusRerum 0 Опубликовано 16 октября, 2016 Автор Share Опубликовано 16 октября, 2016 Мог и убрать, установлен ESET NOD32 BE. Машинка не моя, а отца. Когда случилась проблема меня не было рядом. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 октября, 2016 Share Опубликовано 16 октября, 2016 Посмотрите карантин антивируса на наличие файла d2bc.exe. Цитата Ссылка на сообщение Поделиться на другие сайты
NervusRerum 0 Опубликовано 17 октября, 2016 Автор Share Опубликовано 17 октября, 2016 (изменено) Нашел. Все файлы, которые появились примерно во время атаки упаковал в архив. Прилагаю. Изменено 17 октября, 2016 пользователем mike 1 скачал Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 17 октября, 2016 Share Опубликовано 17 октября, 2016 Нашел. Все файлы, которые появились примерно во время атаки упаковал в архив. Прилагаю. Хорошо. Теперь нужно создать запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525. К запросу приложите в архиве E_N_I_G_M_A.RSA, d2bc.exe и несколько зашифрованных файлов. Цитата Ссылка на сообщение Поделиться на другие сайты
NervusRerum 0 Опубликовано 17 октября, 2016 Автор Share Опубликовано 17 октября, 2016 Понял. Спасибо) Цитата Ссылка на сообщение Поделиться на другие сайты
NervusRerum 0 Опубликовано 18 октября, 2016 Автор Share Опубликовано 18 октября, 2016 Не могу прикрепить код активации в личном кабинете. Пишет "Не удается обработать код активации. Пожалуйста, повторите попытку позже". Уже в течение 3-х часов. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.