Oshin Опубликовано 6 декабря, 2016 Share Опубликовано 6 декабря, 2016 (изменено) Здравствуйте.Постигла и меня беда,открыл письмо с вирусом ishtar. По вашим рекомендациям установил AVZ и создал архив с логом. Файл прилагаю.Возмож но ли что то сделать? CollectionLog-2016.12.06-21.58.zip FRST.txt Addition.txt Изменено 6 декабря, 2016 пользователем Oshin Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 7 декабря, 2016 Share Опубликовано 7 декабря, 2016 Здравствуйте! Будет только очистка следов вымогателя и адвари. Через Панель управления - Удаление программ - удалите нежелательное ПО: cloudfront - Uninstall Driver Booster 2.2 Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\oshin.oshin-tosh\appdata\roaming\4081626e-1429305038-df11-9287-00266c75610b\nsh25d4.tmpfs'); StopService('moguzyvy'); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\FileSmash\QMSoftExt.dll',''); QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe',''); QuarantineFile('D:\IQIYI Video\LStyle\winio.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TS888x64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys',''); QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe',''); QuarantineFile('c:\users\oshin.oshin-tosh\appdata\roaming\4081626e-1429305038-df11-9287-00266c75610b\nsh25d4.tmpfs', ''); QuarantineFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\4081626E-1429346626-DF11-9287-00266C75610B\jnsrB460.tmp', ''); QuarantineFile('C:\Users\Oshin\AppData\Local\Temp\System\audiodgi.exe', ''); QuarantineFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\BYAIAMUF.exe', ''); QuarantineFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\DQIQVSVP.exe', ''); QuarantineFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\RBQGK.exe', ''); QuarantineFile('C:\Users\Oshin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SQUKBFI4\DLOADX_1.09.000_pl[1].exe', ''); QuarantineFile('C:\Users\Oshin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5EB7848C\mp800win111e9[1].exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "BYAIAMUF" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "DQIQVSVP" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "RBQGK" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{8DEC0039-7844-45F2-9D03-7F3EE2260618}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{B9472D8F-DB26-44DE-A004-7CAF11F977E3}" /F', 0, 15000, true); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TS888x64.sys','32'); DeleteFile('D:\IQIYI Video\LStyle\winio.sys','32'); DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\FileSmash\QMSoftExt.dll','32'); DeleteFile('C:\Windows\Tasks\BYAIAMUF.job', '64'); DeleteFile('C:\Windows\Tasks\DQIQVSVP.job', '64'); DeleteFile('C:\Windows\Tasks\RBQGK.job', '64'); DeleteFile('c:\users\oshin.oshin-tosh\appdata\roaming\4081626e-1429305038-df11-9287-00266c75610b\nsh25d4.tmpfs', '32'); DeleteFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\4081626E-1429346626-DF11-9287-00266C75610B\jnsrB460.tmp', '32'); DeleteFile('C:\Users\Oshin\AppData\Local\Temp\System\audiodgi.exe', '32'); DeleteFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\BYAIAMUF.exe', '32'); DeleteFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\DQIQVSVP.exe', '32'); DeleteFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\RBQGK.exe', '32'); DeleteFile('C:\Users\Oshin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SQUKBFI4\DLOADX_1.09.000_pl[1].exe', '32'); DeleteFile('C:\Users\Oshin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5EB7848C\mp800win111e9[1].exe', '32'); DeleteService('WINIO'); DeleteService('TS888x64'); DeleteService('QMUdisk'); DeleteService('globalUpdatem'); DeleteService('globalUpdate'); DeleteService('moguzyvy'); DeleteService('zorevige'); DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_168F79440EC8AE06EF9AD100621ACC64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','klsrnsdoib'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft® Windows® Operating System','command'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти