Решена вирус email-iizomer@aol.com.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Cofi, 1 июн 2016.

Статус темы:
Закрыта.
  1. Cofi
    Оффлайн

    Cofi Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    01.06.2016 пришло письмо на почту,открыла,после чего зашифровались фото,видео и текстовые документы.Windows не переустанавливался
     
  2. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
  3. Cofi
    Оффлайн

    Cofi Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Архив AutoLogger
     

    Вложения:

  4. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Cofi, следующее ПО удалите через панель управления
    Код (Text):
    Windows Internet Explorer 8 []-->"D:\WINDOWS\ie8\spuninst\spuninst.exe"
    следующее ПО вам знакомо?
    Код (Text):
    private 3.4.4
    TuneUp Utilities 2011
    Unity Web Player
    Unlocker 1.9.1
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFileF('D:\Documents and Settings\User\Local Settings\Application Data\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\TimeTasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    QuarantineFile('D:\Program Files\service.exe','');
    DeleteFile('D:\WINDOWS\Tasks\fupdate.job','32');
    DeleteFile('D:\Program Files\service.exe','32');
    DeleteFileMask('C:\ProgramData\TimeTasks','*', true);
    DeleteFileMask('D:\Documents and Settings\User\Local Settings\Application Data\fupdate','*', true);
    DeleteDirectory('C:\ProgramData\TimeTasks');
    DeleteDirectory('D:\Documents and Settings\User\Local Settings\Application Data\fupdate');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  5. Cofi
    Оффлайн

    Cofi Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Здравствуйте! TuneUp Utilities 2011, Unlocker 1.9.1 установлены примерно пол года назад, private 3.4.4, Unity Web Player - не известны
     

    Вложения:

  6. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Cofi, неизвестные программы удалите.

    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  7. Cofi
    Оффлайн

    Cofi Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Выполнено
     

    Вложения:

    • AdwCleaner[C1].txt
      Размер файла:
      3,4 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      47 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      81,4 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      56,2 КБ
      Просмотров:
      1
  8. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Cofi,
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    CustomCLSID: HKU\S-1-5-21-1960408961-220523388-1801674531-1004_Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394}\InprocServer32 -> D:\Documents and Settings\User\Local Settings\Application Data\Unity\WebPlayer\loader\UnityWebPluginAX.ocx (Unity Technologies ApS)
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    сделайте повторные логи по правилам
     
  9. Cofi
    Оффлайн

    Cofi Новый пользователь

    Сообщения:
    9
    Симпатии:
    0

    Вложения:

    • Fixlog.txt
      Размер файла:
      1,3 КБ
      Просмотров:
      3
    • Addition.txt
      Размер файла:
      46,3 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      81,2 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      56,6 КБ
      Просмотров:
      1
  10. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Создайте контрольную точку восстановления.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    2016-05-31 17:53 - 2016-05-31 17:53 - 0927422 _____ () D:\Program Files\desk.bmp
    2016-05-31 17:53 - 2016-05-31 17:53 - 0149043 _____ () D:\Program Files\desk.jpg
    2016-05-30 23:13 - 2016-05-31 17:53 - 0000081 _____ () D:\Program Files\TRQZRJRRBM.SGF
    2015-12-31 17:25 - 2016-05-09 14:23 - 0005632 _____ () D:\Documents and Settings\User\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    REG DELETE "HKU\S-1-5-21-1960408961-220523388-1801674531-1004\Control Panel\Desktop\\Wallpaper" /v "D:\Program Files\desk.bmp"
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Еще раз повторите лог FRST
     
  11. Cofi
    Оффлайн

    Cofi Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Здравстуйте!
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,1 КБ
      Просмотров:
      0
    • Fixlog.txt
      Размер файла:
      2,1 КБ
      Просмотров:
      3
    • Addition.txt
      Размер файла:
      47,4 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      71,2 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      57,8 КБ
      Просмотров:
      0
  12. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Удалите вручную значение реестра:
    Код (Microsoft Registry):
    HKU\S-1-5-21-1960408961-220523388-1801674531-1004\Control Panel\Desktop\\Wallpaper -> D:\Program Files\desk.bmp
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    Если включено теневое копирование - скачайте ShadowExplorer и восстановите поврежденные файлы.

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
  13. Cofi
    Оффлайн

    Cofi Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Здравствуйте! Значение реестра удалено, ShadowExplorer не запускается
     

    Вложения:

  14. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Internet Explorer 6.0.2900.5512 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Учетная запись гостя включена. Пароль не установлен.

    TeamViewer 11 v.11.0.53254 Внимание! Скачать обновления
    WinRAR 5.01 (32-разрядная) v.5.0.1.0 Внимание! Скачать обновления
    T
    Google Chrome v.49.0.2623.112 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - О Google Chrome!^

    Удалите папку c:\frst

    С расшифровкой,похоже, не поможем.

    Выполните рекомендации после лечения.
     
    Последнее редактирование: 26 июн 2016
Статус темы:
Закрыта.

Поделиться этой страницей