mike 1 Опубликовано 14 октября, 2016 Share Опубликовано 14 октября, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM\...\Run: [msiestp] => msiestp.exe FF Extension: (MegaSmiles) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\itinfo@it-life.com [2013-12-16] [not signed] FF Extension: (Speed Analysis 3) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\speedanalysis03@SpeedAnalysis.com.xpi [2014-01-31] [not signed] FF Extension: (WebAlta Toolbar) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD24}.xpi [2014-01-23] [not signed] FF Extension: (CinemaLoad) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{deb24184-8668-490a-af07-b4fd27016097}.xpi [2014-01-23] [not signed] FF Extension: (SimilarSites) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{E71B541F-5E72-5555-A47C-E47863195841} [2014-01-31] [not signed] FF Extension: (SweetPacks Toolbar for Firefox) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2013-03-06] [not signed] CHR Extension: (Speed Analysis 3) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mbmpjbkgemhgalmeiigcdljkccfcafoj [2015-05-20] [UpdateUrl: hxxps://dl.addonupdater.com/speedanalysis03/update.chrome.xml] <==== ATTENTION S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X] 2013-12-16 14:12 - 2013-12-16 14:12 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2013-12-16 13:33 - 2013-12-09 14:59 - 0049664 _____ () C:\Documents and Settings\admin\Application Data\closer.exe 2013-12-16 13:34 - 2013-12-16 13:34 - 0000006 _____ () C:\Documents and Settings\admin\Application Data\smw_inst 2013-09-19 20:10 - 2013-09-19 20:09 - 0030894 _____ () C:\Documents and Settings\admin\Application Data\speedanalysis.ico 2016-06-07 13:32 - 2016-06-07 14:31 - 0005949 _____ () C:\Documents and Settings\admin\Application Data\svchost.exe.tmp Folder: C:\Documents and Settings\admin\Local Settings\Temp C:\Documents and Settings\admin\Local Settings\Temp\БТР_.exe C:\Documents and Settings\admin\Local Settings\Temp\default.exe StandardProfile\AuthorizedApplications: [C:\Documents and Settings\admin\Application Data\svchost.exe] => Enabled:svchost.exe StartBatch: @echo off set a7z=%ProgramFiles%\7-Zip\7z.exe set otkuda=%systemdrive%\frst\Quarantine set kuda=C:\ "%a7z%" a "%kuda%\quarantine.7z" -pvirus -mhe "%otkuda%\*" Etc. EndBatch: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. После окончания работы FRST будет создан архив quarantine.7z на диске С. Полученный архив отправьте на этот почтовый ящик: mike1@avp.su. В заголовке письма напишите "Карантин" и укажите ссылку на вашу тему. Ссылка на комментарий Поделиться на другие сайты More sharing options...
NervusRerum Опубликовано 15 октября, 2016 Автор Share Опубликовано 15 октября, 2016 Fixlog прикрепляю, quarantine.7z отправил. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 15 октября, 2016 Share Опубликовано 15 октября, 2016 C:\Documents and Settings\admin\Local Settings\Temp\bat36969.bat Пришлите этот файл в архиве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
NervusRerum Опубликовано 15 октября, 2016 Автор Share Опубликовано 15 октября, 2016 Выслал на mike1@avp.su с темой письма "Карантин (файл bat36969.bat в архиве)" Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 15 октября, 2016 Share Опубликовано 15 октября, 2016 Лучше к сообщению в архиве прикрепите его. На почту файл не дошел. Ссылка на комментарий Поделиться на другие сайты More sharing options...
NervusRerum Опубликовано 15 октября, 2016 Автор Share Опубликовано 15 октября, 2016 Файл bat36969.bat в архиве bat36969.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 15 октября, 2016 Share Опубликовано 15 октября, 2016 Запустите Farbar Recovery Scan Tool двойным щелчком от имени Администратора. Когда программа запустится, скопируйте следующую информацию в окно поиска: d2bc.exe Нажмите кнопку Search Files и подождите. Программа создаст лог-файл (Search.txt). Пожалуйста, прикрепите его в следующем сообщении! Ссылка на комментарий Поделиться на другие сайты More sharing options...
NervusRerum Опубликовано 15 октября, 2016 Автор Share Опубликовано 15 октября, 2016 Готово Search.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 15 октября, 2016 Share Опубликовано 15 октября, 2016 Антивирус не удалял какие-либо файлы? Ссылка на комментарий Поделиться на другие сайты More sharing options...
NervusRerum Опубликовано 16 октября, 2016 Автор Share Опубликовано 16 октября, 2016 Мог и убрать, установлен ESET NOD32 BE. Машинка не моя, а отца. Когда случилась проблема меня не было рядом. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 16 октября, 2016 Share Опубликовано 16 октября, 2016 Посмотрите карантин антивируса на наличие файла d2bc.exe. Ссылка на комментарий Поделиться на другие сайты More sharing options...
NervusRerum Опубликовано 17 октября, 2016 Автор Share Опубликовано 17 октября, 2016 (изменено) Нашел. Все файлы, которые появились примерно во время атаки упаковал в архив. Прилагаю. Изменено 17 октября, 2016 пользователем mike 1 скачал Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 17 октября, 2016 Share Опубликовано 17 октября, 2016 Нашел. Все файлы, которые появились примерно во время атаки упаковал в архив. Прилагаю. Хорошо. Теперь нужно создать запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525. К запросу приложите в архиве E_N_I_G_M_A.RSA, d2bc.exe и несколько зашифрованных файлов. Ссылка на комментарий Поделиться на другие сайты More sharing options...
NervusRerum Опубликовано 17 октября, 2016 Автор Share Опубликовано 17 октября, 2016 Понял. Спасибо) Ссылка на комментарий Поделиться на другие сайты More sharing options...
NervusRerum Опубликовано 18 октября, 2016 Автор Share Опубликовано 18 октября, 2016 Не могу прикрепить код активации в личном кабинете. Пишет "Не удается обработать код активации. Пожалуйста, повторите попытку позже". Уже в течение 3-х часов. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти