Мария Бухгалтер Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 Здравствуйте ещё раз, создала свою тему, что бы не засорять другие. Сегодня утром открыла письмо от поставщика с электронной почты "Акт-сверки" чем запустила вирус - шифровальщик ISHTAR. Помогите пожалуйста советом, что можно сделать? Можно ли спасти программы и какие вообще мне предпринять действия. Полазив на форумах, скачала программу Farbar Recovery Scan Tool. Сделала сканирование, программа выдала 2 файла. Что дальше делать ума не приложу. Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 Начните все же с отчетов по правилам, т.е. CollectionLog, собранный с помощью Автологера. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Мария Бухгалтер Опубликовано 17 марта, 2017 Автор Share Опубликовано 17 марта, 2017 Установила программу Касперского KVRT при первом запуске показал 79 угроз, удалила, компьютер перезагрузился.. Запустила снова проверку уже выдает 106 объектов. Папка AutoLogger-test не открывается, пишет ошибку. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 Соберите отчёты этой версией Автологера. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Мария Бухгалтер Опубликовано 17 марта, 2017 Автор Share Опубликовано 17 марта, 2017 CollectionLog-2017.03.17-14.54.zip Можете подсказать что делать дальше? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 Через Панель управления - Удаление программ - удалите нежелательное ПО: amuleC aMuleCustom amulesw BikaQ Rss etranslator mystartsearch uninstall qksee sCloudStatusCheck Time tasks Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('BangcarSU'); StopService('CansuckSU'); StopService('FootperSU'); StopService('NoflatSU'); QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Users\CFF3~1\AppData\Local\Temp\1\BaofengUpdate_U.exe', ''); QuarantineFile('C:\windows\TEMP\nsiA77D.tmp\ttff.exe', ''); QuarantineFile('C:\Users\CFF3~1\AppData\Local\Temp\2\ttff.exe', ''); QuarantineFile('C:\windows\TEMP\nsiEB5B.tmp\Binstall.exe', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\Users\CFF3~1\AppData\Local\Temp\7zSC81F.tmp\20111214_FWUpg1120\XEventMessage.dll', ''); QuarantineFile('C:\UTM\agent\bin\agent.bat', ''); QuarantineFile('C:\iexplore.bat', ''); QuarantineFile('c:\program files (x86)\common files\services\ithemes.dll', ''); QuarantineFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe', ''); QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe', ''); QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Kinoroom Browser" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{B6E9566C-E760-473C-93EB-15A6A150CFFC}" /F', 0, 15000, true); DeleteFile('C:\Users\CFF3~1\AppData\Local\Temp\1\BaofengUpdate_U.exe', '32'); DeleteFile('C:\windows\TEMP\nsiA77D.tmp\ttff.exe', '32'); DeleteFile('C:\Users\CFF3~1\AppData\Local\Temp\2\ttff.exe', '32'); DeleteFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe'); DeleteFile('c:\program files (x86)\common files\services\ithemes.dll'); DeleteFile('C:\windows\TEMP\nsiEB5B.tmp\Binstall.exe', '32'); DeleteFile('C:\Program Files (x86)\MIO\MIO.exe'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\Users\CFF3~1\AppData\Local\Temp\7zSC81F.tmp\20111214_FWUpg1120\XEventMessage.dll', '32'); DeleteFile('C:\iexplore.bat', '32'); DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe', '32'); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true); DeleteDirectory('c:\program files (x86)\zaxar'); DeleteDirectory('c:\program files (x86)\kinoroom browser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #2'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); DeleteService('BangcarSU'); DeleteService('CansuckSU'); DeleteService('FootperSU'); DeleteService('NoflatSU'); ExecuteSysClean; ExecuteRepair(2); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Мария Бухгалтер Опубликовано 17 марта, 2017 Автор Share Опубликовано 17 марта, 2017 ClearLNK-17.03.2017_16-40.log [KLAN-5972803346] Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:agent.batithemes.dllfirefoxupdate.exeMIO.exeФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. AdwCleanerS0.txt Вроде всё сделала так как описано. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Прокси Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Мария Бухгалтер Опубликовано 17 марта, 2017 Автор Share Опубликовано 17 марта, 2017 AdwCleanerC0.txt Addition.txtFRST.txt У меня почему то только 2 файла образовалось AdwCleanerS1.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 17 марта, 2017 Share Опубликовано 17 марта, 2017 Через Панель управления - Удаление программ - удалите нежелательное ПО: WinSnare WinZip Word Proser 1.10.0.5 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: () C:\ProgramData\Junedoor\Junedoor.exe CHR DefaultSearchURL: Default -> hxxp://www.nicesearches.com/search.php?type=ds&ts=1457345184&from=zzgbkk123&uid=samsungxmz7pc128hafu-000_s0ygnyabc25360&z=fec92ec108461b16129c734g3z1wdm7cez1weg7b8z&q={searchTerms} CHR DefaultSearchKeyword: Default -> nice CHR Extension: (Стартовая — Яндекс) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk [2017-02-03] CHR Extension: (Новая вкладка – Яндекс) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdpgllbnilfcbckbdchjcfgopijgllcm [2017-01-03] CHR Extension: (Скачивайте расширения для Chrome, софт.) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\cfaiecaipbfijlkohjkceigckpmdmgob [2015-03-24] CHR Extension: (Яндекс) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\cncgohepihcekklokhbhiblhfcmipbdh [2015-01-29] CHR Extension: (SocialLife for Google Chrome™) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\gmbgaklkmjakoegficnlkhebmhkjfich [2015-01-07] CHR Extension: (Mail.Ru) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\jggbjbmnfmipgcanidamjfpechdeekoi [2014-10-06] CHR Extension: (Домашняя страница – Mail.Ru) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\pldbienodkpgkccocelidinmciedjdok [2014-10-06] OPR Extension: (SocialLife for Google Chrome™) - C:\Users\М.Видео\AppData\Roaming\Opera Software\Opera Stable\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2015-01-07] S2 JunedoorU; "C:\Program Files (x86)\Junedoor\Update\JunedoorUpdate.exe" [X] S1 {bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64; system32\drivers\{bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64.sys [X] 2017-03-17 09:05 - 2017-03-17 09:06 - 00001077 _____ C:\Users\М.Видео\AppData\Roaming\ISHTAR.DATA 2017-03-17 09:05 - 2017-03-17 09:05 - 00001824 _____ C:\Users\М.Видео\AppData\Roaming\README-ISHTAR.txt 2017-03-17 09:02 - 2017-03-17 10:15 - 01220225 _____ C:\Users\М.Видео\AppData\Roaming\Wd8kMt0.tmp 2015-06-08 12:46 - 2015-06-08 12:45 - 0613255 _____ (CMI Limited) C:\Users\М.Видео\AppData\Local\nss8C6.tmp 2015-06-04 14:31 - 2015-06-04 14:30 - 0613255 _____ (CMI Limited) C:\Users\М.Видео\AppData\Local\nsu2CE.tmp 2015-06-04 13:33 - 2015-06-04 13:33 - 0613255 _____ (CMI Limited) C:\Users\М.Видео\AppData\Local\nsu8536.tmp Task: {107A7031-3EE9-4DB5-9BED-5BE982215C84} - \{CADF11CE-A85F-4962-8BC6-7E76B6921D47} -> No File <==== ATTENTION Task: {2311E4A5-6F40-453C-8C5A-4AC559207799} - System32\Tasks\JunedoorUpdateTaskMachineCore => C:\Program Files (x86)\Junedoor\Update\JunedoorUpdate.exe <==== ATTENTION Task: {33A80833-FE02-499E-BA19-B205A472A1AD} - System32\Tasks\JunedoorUpdateTaskMachineUA => C:\Program Files (x86)\Junedoor\Update\JunedoorUpdate.exe <==== ATTENTION Task: {7DE0CE86-AA38-4073-8555-0F62E3B9567B} - System32\Tasks\kbrowser-updater-utility => C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] FirewallRules: [{083BA8EE-42D2-4A71-9474-2B4A19B02D6A}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{1E4E306D-D639-4A4F-A856-6DFC4C0EF681}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Мария Бухгалтер Опубликовано 20 марта, 2017 Автор Share Опубликовано 20 марта, 2017 Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 20 марта, 2017 Share Опубликовано 20 марта, 2017 Рекламное ПО и следы вымогателя очищены. С расшифровкой, к сожалению, помочь не сможем. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Мария Бухгалтер Опубликовано 20 марта, 2017 Автор Share Опубликовано 20 марта, 2017 SecurityCheck.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 20 марта, 2017 Share Опубликовано 20 марта, 2017 ------------------------------- [ Windows ] ------------------------------- Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Silverlight v.4.0.50401.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 4.2 v.4.2.169 Внимание! Скачать обновления ^Необязательное обновление.^ -------------------------------- [ Java ] --------------------------------- Java 8 Update 101 v.8.0.1010.13 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u121-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 10 ActiveX v.10.3.181.34 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Yandex v.17.3.0.1785 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Google Chrome v.56.0.2924.87 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Opera Stable 36.0.2130.32 v.36.0.2130.32 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ----------------------------- [ EmailClient ] ----------------------------- Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. „Windows Live Mail“ v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком. ---------------------------- [ UnwantedApps ] ----------------------------- Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. WildTangent ORB Game Console << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. WildTangent Games v.1.0.1.5 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. deskapp v.1.0.7 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Update Installer for WildTangent Games App << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. WildTangent Games App v.4.1.1.14 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Прочтите и выполните Рекомендации после удаления вредоносного ПО Ссылка на комментарий Поделиться на другие сайты More sharing options...
Мария Бухгалтер Опубликовано 20 марта, 2017 Автор Share Опубликовано 20 марта, 2017 Спасибо большое)Вы мне очень помогли!) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти