Решена Поймал iizomer@aol.com.ver-CL 1.3.0.0.id.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Andrey31, 10 июн 2016.

Статус темы:
Закрыта.
  1. Andrey31
    Оффлайн

    Andrey31 Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Здравствуйте сегодня 10.06.16 поймал iizomer@aol.com.ver-CL 1.3.0.0.id помогите, пожалуйста, расшифровать зашифрованные файлы. Система не переустанавливалась.
     

    Вложения:

  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.480
    Симпатии:
    3.100
    Выполните скрипт в AVZ
    Код (Text):
    begin
     DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
     DeleteFile('C:\Program Files (x86)\Uniblue\SpeedUpMyPC\speedupmypc.exe','32');
     DeleteFile('C:\Windows\Tasks\NOXIHKE.job','32');
     DeleteFile('C:\Windows\Tasks\FUK.job','32');
     DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Maintenance.job','32');
     DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Startup.job','32');
     DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Startup','64');
     DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Maintenance','64');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
    ExecuteSysClean;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
     
  3. Andrey31
    Оффлайн

    Andrey31 Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    подскажите, пожалуйста, где почитать как это правильно сделать
     
  4. Andrey31
    Оффлайн

    Andrey31 Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Разобрался, готово.
    Случайно прикрепил файл дважды
     

    Вложения:

    Последнее редактирование: 13 июн 2016
  5. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.480
    Симпатии:
    3.100
    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
    [​IMG]
    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
    6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
     
  6. Andrey31
    Оффлайн

    Andrey31 Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Сделал
     

    Вложения:

  7. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.480
    Симпатии:
    3.100
    Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    1. Распакуйте архив с утилитой в отдельную папку.
    2. Перенесите Check_Browsers_LNK.log (из папки Autologger) на ClearLNK как показано на рисунке
    [​IMG]
    3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    4. Прикрепите этот отчет к своему следующему сообщению.



    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код (Text):

    CreateRestorePoint:
    HKLM\...\Winlogon: [Shell]  [0 ] () <=== ATTENTION
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421945165&from=obw&uid=WDCXWD10EALX-009BA0_WD-WCATR918200782007&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421945165&from=obw&uid=WDCXWD10EALX-009BA0_WD-WCATR918200782007&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1432877113&z=d8f69a8b263617a7cf257b2g0zec7o0b1m0m8g4g6m&from=wpm05293&uid=WDCXWD10EALX-009BA0_WD-WCATR918200782007
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1432877113&z=d8f69a8b263617a7cf257b2g0zec7o0b1m0m8g4g6m&from=wpm05293&uid=WDCXWD10EALX-009BA0_WD-WCATR918200782007
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421945165&from=obw&uid=WDCXWD10EALX-009BA0_WD-WCATR918200782007&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421945165&from=obw&uid=WDCXWD10EALX-009BA0_WD-WCATR918200782007&q={searchTerms}
    HKU\S-1-5-21-925183577-2113723994-2293329863-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1432877113&z=d8f69a8b263617a7cf257b2g0zec7o0b1m0m8g4g6m&from=wpm05293&uid=WDCXWD10EALX-009BA0_WD-WCATR918200782007&q={searchTerms}
    HKU\S-1-5-21-925183577-2113723994-2293329863-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1432877113&z=d8f69a8b263617a7cf257b2g0zec7o0b1m0m8g4g6m&from=wpm05293&uid=WDCXWD10EALX-009BA0_WD-WCATR918200782007
    HKU\S-1-5-21-925183577-2113723994-2293329863-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1432877113&z=d8f69a8b263617a7cf257b2g0zec7o0b1m0m8g4g6m&from=wpm05293&uid=WDCXWD10EALX-009BA0_WD-WCATR918200782007&q={searchTerms}
    HKU\S-1-5-21-925183577-2113723994-2293329863-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
    SearchScopes: HKU\S-1-5-21-925183577-2113723994-2293329863-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-925183577-2113723994-2293329863-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-925183577-2113723994-2293329863-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-925183577-2113723994-2293329863-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-925183577-2113723994-2293329863-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-925183577-2113723994-2293329863-1000 -> {59C32E98-B23A-446F-85BB-EDD405E4474B} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-925183577-2113723994-2293329863-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-925183577-2113723994-2293329863-1000 -> {6B0D3435-87EF-44fc-8DA7-6B06364D6FE2} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-925183577-2113723994-2293329863-1000 -> {7B558BEE-B98C-4c9f-AD17-47F766791327} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-925183577-2113723994-2293329863-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-925183577-2113723994-2293329863-1000 -> {F4B7B870-C500-49ea-B177-F355AE4C957E} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-925183577-2113723994-2293329863-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
    BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
    BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
    DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bdacf9c0475377accc259af6ea9bebb6&text= <==== ATTENTION
    FF NewTab: hxxp://www.delta-homes.com/newtab/?type=nt&ts=1437048559&z=70d207402a3263b60924abcg1z6c6m3e5zfb9w2q7z&from=wpm07163&uid=WDCXWD10EALX-009BA0_WD-WCATR918200782007
    FF SelectedSearchEngine: delta-homes
    CHR Extension: (Everysale.Net) - C:\Users\Моя семья\AppData\Local\Google\Chrome\User Data\Default\Extensions\iapdadaeaebaoigieglfababneoaifnf [2015-01-14] [UpdateUrl: hxxp://everysale.net/update/update_ch.php] <==== ATTENTION
    CHR Extension: (Everysale.Net) - C:\Users\Моя семья\AppData\Local\Google\Chrome\User Data\Default\Extensions\jaocgokledfmfebefgbeokdodbbdjhdd [2015-01-14] [UpdateUrl: hxxp://crx.binupdate.mail.ru/jaocgokledfmfebefgbeokdodbbdjhdd/updates.xml] <==== ATTENTION
    CHR HKLM-x32\...\Chrome\Extension: [iapdadaeaebaoigieglfababneoaifnf] - C:\Users\Моя семья\AppData\Roaming\Everysale\chrome.crx <not found>
    2016-06-10 13:56 - 2016-06-10 13:56 - 00927422 _____ C:\Program Files (x86)\desk.bmp
    2016-06-10 10:03 - 2016-06-10 13:56 - 00000080 _____ C:\Program Files (x86)\SGZYMYTKNY.KZB
    2016-06-10 13:56 - 2016-06-10 13:56 - 0149043 _____ () C:\Program Files (x86)\desk.jpg
    Reboot:
     
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание, что будет выполнена перезагрузка компьютера.
     
  8. Andrey31
    Оффлайн

    Andrey31 Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Сделано
     

    Вложения:

  9. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.480
    Симпатии:
    3.100
    С расшифровкой помочь не сможем
     
  10. Andrey31
    Оффлайн

    Andrey31 Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';

      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
Статус темы:
Закрыта.

Поделиться этой страницей