mike 1 Опубликовано 14 октября, 2016 Опубликовано 14 октября, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM\...\Run: [msiestp] => msiestp.exe FF Extension: (MegaSmiles) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\itinfo@it-life.com [2013-12-16] [not signed] FF Extension: (Speed Analysis 3) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\speedanalysis03@SpeedAnalysis.com.xpi [2014-01-31] [not signed] FF Extension: (WebAlta Toolbar) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD24}.xpi [2014-01-23] [not signed] FF Extension: (CinemaLoad) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{deb24184-8668-490a-af07-b4fd27016097}.xpi [2014-01-23] [not signed] FF Extension: (SimilarSites) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{E71B541F-5E72-5555-A47C-E47863195841} [2014-01-31] [not signed] FF Extension: (SweetPacks Toolbar for Firefox) - C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\ksx6fuwf.default\Extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2013-03-06] [not signed] CHR Extension: (Speed Analysis 3) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mbmpjbkgemhgalmeiigcdljkccfcafoj [2015-05-20] [UpdateUrl: hxxps://dl.addonupdater.com/speedanalysis03/update.chrome.xml] <==== ATTENTION S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X] 2013-12-16 14:12 - 2013-12-16 14:12 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2013-12-16 13:33 - 2013-12-09 14:59 - 0049664 _____ () C:\Documents and Settings\admin\Application Data\closer.exe 2013-12-16 13:34 - 2013-12-16 13:34 - 0000006 _____ () C:\Documents and Settings\admin\Application Data\smw_inst 2013-09-19 20:10 - 2013-09-19 20:09 - 0030894 _____ () C:\Documents and Settings\admin\Application Data\speedanalysis.ico 2016-06-07 13:32 - 2016-06-07 14:31 - 0005949 _____ () C:\Documents and Settings\admin\Application Data\svchost.exe.tmp Folder: C:\Documents and Settings\admin\Local Settings\Temp C:\Documents and Settings\admin\Local Settings\Temp\БТР_.exe C:\Documents and Settings\admin\Local Settings\Temp\default.exe StandardProfile\AuthorizedApplications: [C:\Documents and Settings\admin\Application Data\svchost.exe] => Enabled:svchost.exe StartBatch: @echo off set a7z=%ProgramFiles%\7-Zip\7z.exe set otkuda=%systemdrive%\frst\Quarantine set kuda=C:\ "%a7z%" a "%kuda%\quarantine.7z" -pvirus -mhe "%otkuda%\*" Etc. EndBatch: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. После окончания работы FRST будет создан архив quarantine.7z на диске С. Полученный архив отправьте на этот почтовый ящик: mike1@avp.su. В заголовке письма напишите "Карантин" и укажите ссылку на вашу тему.
NervusRerum Опубликовано 15 октября, 2016 Автор Опубликовано 15 октября, 2016 Fixlog прикрепляю, quarantine.7z отправил. Fixlog.txt
mike 1 Опубликовано 15 октября, 2016 Опубликовано 15 октября, 2016 C:\Documents and Settings\admin\Local Settings\Temp\bat36969.bat Пришлите этот файл в архиве.
NervusRerum Опубликовано 15 октября, 2016 Автор Опубликовано 15 октября, 2016 Выслал на mike1@avp.su с темой письма "Карантин (файл bat36969.bat в архиве)"
mike 1 Опубликовано 15 октября, 2016 Опубликовано 15 октября, 2016 Лучше к сообщению в архиве прикрепите его. На почту файл не дошел.
NervusRerum Опубликовано 15 октября, 2016 Автор Опубликовано 15 октября, 2016 Файл bat36969.bat в архиве bat36969.7z
mike 1 Опубликовано 15 октября, 2016 Опубликовано 15 октября, 2016 Запустите Farbar Recovery Scan Tool двойным щелчком от имени Администратора. Когда программа запустится, скопируйте следующую информацию в окно поиска: d2bc.exe Нажмите кнопку Search Files и подождите. Программа создаст лог-файл (Search.txt). Пожалуйста, прикрепите его в следующем сообщении!
mike 1 Опубликовано 15 октября, 2016 Опубликовано 15 октября, 2016 Антивирус не удалял какие-либо файлы?
NervusRerum Опубликовано 16 октября, 2016 Автор Опубликовано 16 октября, 2016 Мог и убрать, установлен ESET NOD32 BE. Машинка не моя, а отца. Когда случилась проблема меня не было рядом.
mike 1 Опубликовано 16 октября, 2016 Опубликовано 16 октября, 2016 Посмотрите карантин антивируса на наличие файла d2bc.exe.
NervusRerum Опубликовано 17 октября, 2016 Автор Опубликовано 17 октября, 2016 (изменено) Нашел. Все файлы, которые появились примерно во время атаки упаковал в архив. Прилагаю. Изменено 17 октября, 2016 пользователем mike 1 скачал
mike 1 Опубликовано 17 октября, 2016 Опубликовано 17 октября, 2016 Нашел. Все файлы, которые появились примерно во время атаки упаковал в архив. Прилагаю. Хорошо. Теперь нужно создать запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525. К запросу приложите в архиве E_N_I_G_M_A.RSA, d2bc.exe и несколько зашифрованных файлов.
NervusRerum Опубликовано 18 октября, 2016 Автор Опубликовано 18 октября, 2016 Не могу прикрепить код активации в личном кабинете. Пишет "Не удается обработать код активации. Пожалуйста, повторите попытку позже". Уже в течение 3-х часов.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти