Betadm 0 Опубликовано 23 июня, 2017 Share Опубликовано 23 июня, 2017 Есть возможность расшифровать файлы? CollectionLog-2017.06.23-11.57.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 23 июня, 2017 Share Опубликовано 23 июня, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\Microsoft\Windows\Image\capCADF.tmp:ad:$DATA',''); QuarantineFile('C:\Program Files\firefox\bin\firefoxupdate.exe',''); QuarantineFile('C:\Users\user\AppData\Local\Hostinstaller\2866227017_installcube.exe',''); QuarantineFile('C:\ProgramData\InstallChecker\InstallChecker.exe',''); QuarantineFile('C:\Program Files\Phulershoqos\perris.exe',''); QuarantineFile('C:\Users\user\AppData\Local\terana\terana.dll',''); QuarantineFile('C:\Users\user\AppData\Local\CWASRE\Snare.dll',''); QuarantineFile('C:\Users\user\AppData\Roaming\WinSAPSvc\WinSAP.dll',''); QuarantineFile('C:\ProgramData\Microsoft\AppV\setup\install.dll',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Image\capCADF.tmp',''); QuarantineFile('C:\Users\user\AppData\Local\glory\glory.dll',''); QuarantineFile('C:\Users\user\AppData\Local\CSHMDR\Snare.dll',''); QuarantineFile('C:\ProgramData\BIT\BIT.dll',''); DeleteService('iSafeNetFilter'); DeleteService('iSafeKrnlR3'); DeleteService('iSafeKrnlMon'); DeleteService('iSafeKrnlKit'); DeleteService('iSafeKrnl'); DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys','32'); DeleteFile('iSafeKrnlR3.sys','32'); DeleteFile('C:\Windows\system32\Drivers\iSafeNetFilter.sys','32'); DeleteFile('iSafeKrnl.sys','32'); DeleteFile('iSafeKrnlKit.sys','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','background_fault'); DeleteFile('C:\Users\user\AppData\Local\background_fault\bf.dll','32'); DeleteFile('C:\Users\user\AppData\Local\background_fault\aswRD.exe','32'); DeleteFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','32'); DeleteFile('C:\ProgramData\BIT\BIT.dll','32'); DeleteFile('C:\Users\user\AppData\Local\CSHMDR\Snare.dll','32'); DeleteFile('C:\Users\user\AppData\Local\glory\glory.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\glory\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\CSHMDR\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BIT\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Обнови Софт','command'); DeleteFile('C:\Users\user\AppData\Roaming\WinSAPSvc\WinSAP.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters','ServiceDll'); DeleteFile('C:\Users\user\AppData\Local\CWASRE\Snare.dll','32'); DeleteFile('C:\Users\user\AppData\Local\terana\terana.dll','32'); DeleteFile('C:\Program Files\Phulershoqos\perris.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Clerfather Controls','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\DeviceSettings\Phulerge','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Apps\UpService','32'); DeleteFile('C:\ProgramData\InstallChecker\InstallChecker.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Milimili','32'); DeleteFile('C:\Windows\system32\Tasks\Soft installer','32'); DeleteFile('C:\Users\user\AppData\Local\Hostinstaller\2866227017_installcube.exe','32'); DeleteFile('C:\Program Files\firefox\bin\firefoxupdate.exe','32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Image\capCADF.tmp:ad:$DATA','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(9); RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Ссылка на сообщение Поделиться на другие сайты
Betadm 0 Опубликовано 26 июня, 2017 Автор Share Опубликовано 26 июня, 2017 сделал по инструкции, отправил касперскому Сообщение от модератора Mark D. Pearlstone quarantine.zip прикреплять не нужно. Файл удалён. CollectionLog-2017.06.26-14.07.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 26 июня, 2017 Share Опубликовано 26 июня, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Betadm 0 Опубликовано 4 июля, 2017 Автор Share Опубликовано 4 июля, 2017 Farbar farbar.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 4 июля, 2017 Share Опубликовано 4 июля, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKU\S-1-5-21-4088658036-1457375118-661796478-1000\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj1QRWzSRkZYNWF3NTRXMjLXNYU3MTZXNYFxFjk4NdzYRq== /q <==== ATTENTION HKLM\...\Providers\li3jn956: C:\Program Files\Clerfather Controls\local32spl.dll [281088 2017-05-12] () <==== ATTENTION ShellExecuteHooks: No Name - {1D4A956C-3176-11E7-B331-64006A5CFC23} - -> No File GroupPolicy: Restriction - Chrome <==== ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495786317&z=fe22c3db1819ea848500853g1z9t9w1meb1qcccg4z&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495012992&z=0ec248e2cf88311469d3629gcz9tbweeeg3o5tet3g&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495786317&z=fe22c3db1819ea848500853g1z9t9w1meb1qcccg4z&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495012992&z=0ec248e2cf88311469d3629gcz9tbweeeg3o5tet3g&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX&q={searchTerms} HKU\S-1-5-21-4088658036-1457375118-661796478-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYyiOHCaLamHvAWetw2G1r_Go3rZkI-dBW6Peiv2HbQwW6qYvm2EWtrNJ7UDNmFwvSudMTwfCwvER_KA4MkWZYA7dX3bjmgsfMyItgsB91ipuTmpKsJ3cCS7W6_pRFA5tHFqj2xdlY6jLkUZnwRgzl4o4AoXw78rgNTwIVHgzs,&q={searchTerms} HKU\S-1-5-21-4088658036-1457375118-661796478-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495786317&z=fe22c3db1819ea848500853g1z9t9w1meb1qcccg4z&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX HKU\S-1-5-21-4088658036-1457375118-661796478-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495786317&z=fe22c3db1819ea848500853g1z9t9w1meb1qcccg4z&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX SearchScopes: HKLM -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYyiOHCaLamHvAWetw2G1r_Go3rZkI-dBW6Peiv2HbQwW6qYvm2EWtrNJ7UDNmFwvSudMTwfCwvER_KA4MkWZYA7dX3bjmgsfMyItgsB91ipuTmpKsJ3cCS7W6_pRFA5tHFqj2xdlY6jLkUZnwRgzl4o4AoXw78rgNTwIVHgzs,&q={searchTerms} SearchScopes: HKU\S-1-5-21-4088658036-1457375118-661796478-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495786317&z=fe22c3db1819ea848500853g1z9t9w1meb1qcccg4z&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX&q={searchTerms} SearchScopes: HKU\S-1-5-21-4088658036-1457375118-661796478-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495786317&z=fe22c3db1819ea848500853g1z9t9w1meb1qcccg4z&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX&q={searchTerms} SearchScopes: HKU\S-1-5-21-4088658036-1457375118-661796478-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYyiOHCaLamHvAWetw2G1r_Go3rZkI-dBW6Peiv2HbQwW6qYvm2EWtrNJ7UDNmFwvSudMTwfCwvER_KA4MkWZYA7dX3bjmgsfMyItgsB91ipuTmpKsJ3cCS7W6_pRFA5tHFqj2xdlY6jLkUZnwRgzl4o4AoXw78rgNTwIVHgzs,&q={searchTerms} FF ProfilePath: C:\Users\user\AppData\Roaming\Mozilla\Firefox\naweriweentcofise\Profiles\opd4fif0.default\Profiles\opd4fif0.default [not found] <==== ATTENTION FF Extension: (supermegabest) - C:\Users\user\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23] FF Extension: (Fast search v 0.25) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\opd4fif0.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2016-07-19] [not signed] FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\opd4fif0.default\searchplugins\li3jn956.xml [2017-05-12] FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\opd4fif0.default\searchplugins\ourluckysites.xml [2017-05-17] CHR StartupUrls: ChromeDefaultData -> "hxxp://www.ourluckysites.com/?type=hp&ts=1495012992&z=0ec248e2cf88311469d3629gcz9tbweeeg3o5tet3g&from=che0812&uid=TOSHIBAXDT01ACA050_94FU561BSXX94FU561BSX" CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.mystarting123.com/search/index.php?z=a665e3e3f458b30feeabc6bg8z4t4w6q9geo1weo1oe&q={searchTerms} CHR DefaultSearchKeyword: ChromeDefaultData -> mystarting123 CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-4088658036-1457375118-661796478-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx S2 WinSAPSvc; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 BIT; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 CSHMDR; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 glory; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) R2 WinAppSvr; C:\ProgramData\Microsoft\AppV\setup\install.dll [104448 2017-05-15] (TODO: <Company name>) [File not signed] <==== ATTENTION <==== ATTENTION 2017-06-22 10:15 - 2017-06-22 10:15 - 00008959 _____ C:\Users\user\AppData\Roaming\Paxynok.html 2017-06-22 10:11 - 2017-06-22 10:11 - 00008959 _____ C:\Users\user\Documents\Paxynok.html 2017-06-22 10:04 - 2017-06-22 10:04 - 00008959 _____ C:\Users\Все пользователи\Paxynok.html 2017-06-22 10:04 - 2017-06-22 10:04 - 00008959 _____ C:\Users\user\Paxynok.html 2017-05-15 12:04 - 2017-06-26 12:00 - 00000000 ____D C:\Users\Все пользователи\BIT 2017-05-15 12:04 - 2017-06-26 12:00 - 00000000 ____D C:\Users\user\AppData\Roaming\WinSAPSvc 2017-05-15 12:04 - 2017-06-26 12:00 - 00000000 ____D C:\ProgramData\BIT 2017-05-15 12:04 - 2017-06-26 11:59 - 00000000 ____D C:\Users\user\AppData\Local\CWASRE 2017-05-15 12:04 - 2017-05-15 12:04 - 00000000 ____D C:\Program Files\MIO 2017-05-15 12:02 - 2017-05-31 12:06 - 00000000 ____D C:\Program Files\li3jn956 2017-05-12 13:29 - 2017-06-02 08:01 - 00000000 ____D C:\Program Files\Phulershoqos 2017-05-12 13:29 - 2017-05-18 08:36 - 00000000 ____D C:\Users\user\AppData\Roaming\Sadogeclozedom 2017-05-12 13:29 - 2017-05-17 12:06 - 00000000 ____D C:\Users\user\AppData\Local\Terwopy 2017-05-12 13:29 - 2017-05-12 13:29 - 00000000 ____D C:\Program Files\Clerfather Controls FirewallRules: [{9CECD728-9367-4C43-8779-A4CC4C9F9640}] => (Allow) C:\Users\user\AppData\Local\Amigo\Application\amigo.exe Task: {23FDD96A-3E26-4C73-8CFB-EA7C68282E6B} - \Microsoft\Windows\DeviceSettings\Phulerge -> No File <==== ATTENTION Task: {5FB4C907-389A-485D-9ED2-56BECB57AF7C} - \Milimili -> No File <==== ATTENTION Task: {CA0A4D3D-354D-49D2-8103-876D0A8F385D} - \Microsoft\Windows\Apps\UpService -> No File <==== ATTENTION Task: {EA2D259D-A03E-448D-8AE0-FD9048AA1E80} - \Soft installer -> No File <==== ATTENTION Task: {F4E408BB-3761-4A6F-8196-94843DBF6403} - \Clerfather Controls -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
Betadm 0 Опубликовано 5 июля, 2017 Автор Share Опубликовано 5 июля, 2017 fixlog Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 5 июля, 2017 Share Опубликовано 5 июля, 2017 Мусор почистили. С расшифровкой помочь не сможем. Ссылка на сообщение Поделиться на другие сайты
Betadm 0 Опубликовано 5 июля, 2017 Автор Share Опубликовано 5 июля, 2017 спс, но вопрос в расшифровке, там и так виндовс будет переставлена Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 5 июля, 2017 Share Опубликовано 5 июля, 2017 Увы, это GlobeImposter2, для которого расшифровка есть только у злодеев Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти