Подхватили вирус, перекодировал .doc .xls и тд.

[Lavi]

Подхватили вирус, перекодировал .doc .xls и тд.
Некоторые файлы спрашивают кодировку, другие пишут что повреждены.

май медосмотр.doc

Копия форма 17 г.xls

[SQ]

Порядок оформления запроса о помощи.

[Lavi]

извиняюсь за нарушение, вот логи.

CollectionLog-2017.05.12-12.27.zip

[SQ]

HiJackThis (из каталога автологгера) профиксить

R3 - HKCU\..\URLSearchHooks: (no name) -  - (no file)
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {45971E7E-9F65-4A94-BB11-F5F01FA9306B} - (no name) - (no URL)
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{45971E7E-9F65-4A94-BB11-F5F01FA9306B} - (no name) - (no URL)
R4 - HKLM\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no name) - (no URL)
O4 - MSConfig\startupreg: [Client Server Runtime Subsystem] (no file)  (HKCU) (2015/08/31)
O4 - MSConfig\startupreg: [Green Christmas Tree] C:\Users\admin\AppData\Local\Temp\Rar$EXa0.474\GreenChristmasTree.exe  (file missing) (HKCU) (2012/03/02)

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files\Google\Chrome\Application\58.0.3029.110\eventlog_provider.dll','');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\Rar$EXa0.474\GreenChristmasTree.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Green Christmas Tree','command');
 BC_ImportQuarantineList;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Lavi]

[KLAN-6227179127]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
eventlog_provider.dll
bcqr00001.dat
bcqr00002.dat

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  2017-05-12 08:32 - 2017-05-12 08:32 - 00000068 ____R C:\Users\admin\Downloads\HELP_iISp4fhZ.html
  2017-05-12 08:32 - 2017-05-12 08:32 - 00000068 ____R C:\Users\admin\Documents\HELP_iISp4fhZ.html
  Zip: C:\df696522.exe;C:\Users\admin\AppData\Local\Temp\nagrest.exe
  2017-05-12 08:28 - 2017-05-12 08:28 - 00166912 ____H C:\df696522.exe
  2017-05-12 08:28 - 2017-05-12 08:28 - 00000000 ____R C:\Users\admin\AppData\Roaming\iISp4fhZ
  Folder: C:\Users\Все пользователи\Microsoft Help
  2017-05-12 08:41 - 2017-05-12 12:00 - 0000000 _____ () C:\Users\admin\AppData\Local\Temp\df696522.exe
  2017-05-12 10:51 - 2017-05-12 10:51 - 0013744 _____ () C:\Users\admin\AppData\Local\Temp\nagrest.exe
  HKLM\...\.reg: Regedit.Document => c:\Winnt\Regedit.exe %1 <===== ATTENTION
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

После выполнения фикса, на рабочем столе появиться каранти вида <дата>_<время>.zip из отправьте по адресу newvirus@kaspersky.com

[Lavi]

[KLAN-6227409105]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
nagrest.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

[Lavi]

Забыл прикрепить файл

Fixlog.txt

Изменено 15 мая, 2017 пользователем Lavi

[SQ]

Пробуйте создать заявку по инструкции https://forum.kasperskyclub.ru/index.php?showtopic=48525