Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Фикс тоже делайте в обычном режиме:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    SearchScopes: HKU\S-1-5-21-302243855-471625580-1909430750-1001 -> 7D0A0A128FDE5C3F74B9DC0F92988204 URL = hxxp://start.funmoods.com/results.php?f=4&a=make&q={searchTerms}
    S2 0293711518528864mcinstcleanup; C:\Users\Sony\AppData\Local\Temp\029371~1.EXE [834664 2013-07-30] (McAfee, Inc.) <==== ATTENTION
    AVG PC TuneUp (HKLM-x32\...\{149D912F-03DB-4895-913E-820CB11965C0}) (Version: 16.74.1 - AVG Technologies) Hidden
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится

AVG PC TuneUp

Удалите.
Опубликовано

в перечне программ AVG не появился

В логе виден

 

AVG PC TuneUp (HKLM-x32\...\{149D912F-03DB-4895-913E-820CB11965C0}) (Version: 16.74.1 - AVG Technologies)

Пробуйте удалить принудительно через Revo Uninstall.

Опубликовано

Прогнал еще раз спец утилиту для удаления продуктов AVG.
Ничего не изменилось.
Revo программу увидел, но удалять отказался. "Удаление возможно только для установленных программ."
Просто удалил запись в реестре из Revo.
Каталоги, указанные в записи - отсутствуют.
В каталоге со спец утилитами удаления AVG, обнаружился файл: user.js
Который никак не мог туда попасть. Сегодня удалил такой же файл из корня диска С:

 

Внутри файла 1 строка:

==

user_pref("extensions.funmoods_i.instlRef", "");
==

Addition.txt

FRST.txt

Shortcut.txt

Опубликовано

Сделайте следующее:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
Опубликовано

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;---------command-block---------
    bl 376547166AFFD0A765B9A2854DBABE90 32309
    zoo %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSOEM.CRX
    delall %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSOEM.CRX
    zoo %SystemDrive%\USERS\SONY\APPDATA\LOCAL\TEMP\YUPDATE-PING-PUNTO.TEMP
    delall %SystemDrive%\USERS\SONY\APPDATA\LOCAL\TEMP\YUPDATE-PING-PUNTO.TEMP
    zoo %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\BH\FUNMOODS.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\BH\FUNMOODS.DLL
    zoo %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSAPP.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSAPP.DLL
    zoo %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSENG.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSENG.DLL
    zoo %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSSRV.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSSRV.EXE
    zoo %SystemDrive%\PROGRAM FILES (X86)\AVG\AVG PC TUNEUP\PROCESSMANAGER64.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\AVG\AVG PC TUNEUP\PROCESSMANAGER64.EXE
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER_64.DLL
    delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER_64.DLL
    deldir %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\
    apply
    
    regt 28
    regt 29
    czoo
    restart
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.
Опубликовано

Скрипт запустил. Файл сейчас отправлю.

Но загрузка винчестера - 100%.

AVZ завис.

Опубликовано

Удалите папку с AutoLogger-ом.

Потом скачайте его отсюда и попробуйте собрать логи им в обычном режиме.

Опубликовано (изменено)

Логи собрались. Только HiJack упал с ошибкой.
Файл ZOO_ отправить не могу. Gmail блокирует отправку.
Прикрепляю сюда.

CollectionLog-2018.02.16-17.59.zip

Изменено пользователем regist
удалил карантин
Опубликовано (изменено)

Только HiJack упал с ошибкой.

по логе не заметно. Попробуйте сделать лог HijackThis этой версией.

И в ней же тогда "Пофиксите":

O4-32 - HKLM\..\Run: [ATLauncher] = C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe /createshortcuts:1 (file missing)
O4-32 - HKLM\..\Run: [ATUninstallIcon] = C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe /createuninstallentry:1 (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Add to Google Photos Screensa&ver - C:\WINDOWS\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Отправить на Bluetooth - C:\Program Files (x86)\Intel\Bluetooth\btSendToObject.htm (file missing)
O9 - Button: HKCU\..\{2F56DCAA-153B-4479-B4E2-547405B34FB9} - Отправить на Bluetooth - C:\Program Files (x86)\Intel\Bluetooth\btSendToPage.htm (file missing)
O9 - Tools menu item: HKCU\..\{2F56DCAA-153B-4479-B4E2-547405B34FB9} - Отправить на Bluetooth - C:\Program Files (x86)\Intel\Bluetooth\btSendToPage.htm (file missing)
O22 - Task: (disabled) Dolby Selector - C:\Program Files (x86)\Dolby Home Theater v4\pcee4.exe -autostart (file missing)
O22 - Task: (disabled) \Microsoft\Windows\Setup\UpgradeTriggers\UpgradeNowTask - C:\WINDOWS\System32\GWX\GWXUXWorker.exe /UpgradeNow (file missing)

+ просьба, выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Sony\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Microsoft Office.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'Office_lnk.zip');
end.
Файл Office_lnk.zip из папки с распакованной утилитой AVZ прикрепите к сообщению. Изменено пользователем regist
Опубликовано (изменено)

Взял HiJack другой версии.
Запусил, пофиксил и сделал логи.
Выполнил скрипт в AVZ.
Запустил последний логгер и сделал новые логи. Никто не падал.
Все 3 файла прилагаю.

CollectionLog-2018.02.16-20.28.zip

Office_lnk.zip

HiJackThis_debug.zip

Изменено пользователем AlexAndr11
Опубликовано (изменено)

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

и что с проблемой (не считая файлов)?

Изменено пользователем regist
Опубликовано

1. Собрал еще раз логи AVZ. Прилагаю.
2. Произвел отправку файлов по указанному адресу. Ссылка на результат:
http://virusinfo.info/virusdetector/report.php?md5=98783327FA2FDBC85D297AE7F5523EE3
При сборе AVZ очень много ругался на невозможность помещения файлов в карантин. Сохранить логи не сообразил, но можно еще раз повторить. В итоге на анализ отправились 2 файла - .dll и зашифрованный файл.
3. Проблема - 100% загрузка диска. В защищенном режиме такого нет.
Скриншоты диспетчера задач прилагаю.

virusinfo_syscheck.zip

screen.zip

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Екатерина Лучинина
      Автор Екатерина Лучинина
      Пару недель назад, столкнулась с проблемой, ни одну фотографию на компьютере не смогла открыть. Ну думаю, опять вирус подцепила(где и когда, не помню/не знаю), отнесу администратору на работе, должен починить...
      Принесла вчера, а он мне с порога, мол: " --Фигу, что я уже из своих фотографий увижу, если у меня их не было в другом месте." 
      А фотографии я не копировала никуда. В общем после пролитых слез полезла я поискать решение, ну и направило меня сюда.
      Поможите люди добрые, вроде все сделала по инструкции, вот лог.
       

      Ой, задвоилась тема, можно одну удалить?
      CollectionLog-2015.11.10-12.48.zip
      report1.log
      report2.log
    • Alex_hvost
      Автор Alex_hvost
      Добрый день! схожая проблема уже озвучивалась на этом форуме, следуя инструкциям создаю новую тему с тем сообщением что пришло мне:
      на рабочем столе появилась надпись красными буквами на черном экране: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbtl и появилась 6 файлом readme в котором написано:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: B3DF8C1ACB4CD7FA4CD8|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: B3DF8C1ACB4CD7FA4CD8|0 to e-mail address files1147@gmail.com or post100023@gmail.com . Then you will receive all necessary instructions.  
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Прошу вас помочь с разрешением этой ситуации Спасибо
    • borka_e
      Автор borka_e
      Знакомый принес ноутбук, говорит не выходит в интернет, на ноутбуке все или большинство файлов зашифрованы - расширение xtbl, есть ли шансы на восстановление? Согласно инструкции на этом сайте почистил систему: Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. Сделал лог AutoLogger.exe, файл прилагаю. 
      CollectionLog-2015.10.27-10.40.zip
    • bom81
      Автор bom81
      Вирус зашифровал файлы
      примерно минут за 12
       
      сам файл, который запустил пользователь, нашел
      051115scan.scr
       
       
       
      Оставлены 10 файликов  на рабочем столе о том как расшифровать
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 339759B8033610BB2417|288|2|7 на электронный адрес files100001@gmail.com или files100002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 339759B8033610BB2417|288|2|7 to e-mail address files100001@gmail.com or files100002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     могу приложить сам вирус и зашифрованные файлы     возможно ли их будет расшифровать? виндовс переставить не долго, а вот расшифровать... CollectionLog-2015.11.08-14.57.zip
    • vsmzadmin
      Автор vsmzadmin
      Пользователь открыл прикрепленный к письму архив с исполняемым файлом. В результате все документы зашифрованы, имена закодированы, расширение XTBL В файле readme.txt сообщение:  
            CollectionLog-2015.11.10-10.51.zip
×
×
  • Создать...