• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена вирус повредил фотографии с расширением JPG

евгений123456

Новый пользователь
Сообщения
19
Симпатии
7
#1
не открываются фотографии с расширением JPG вирус повредил их в каждой папке находится инструкция с переходом на почтовый ящик (платное)
 

евгений123456

Новый пользователь
Сообщения
19
Симпатии
7
#3
не могу загрузить файл(пишет файл с этим разрешением загрузить нельзя)
 

Кирилл

Команда форума
Администратор
Сообщения
13,037
Симпатии
5,641
#4
закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU) ссылку на скачивание пришлите
 
Последнее редактирование модератором:

Кирилл

Команда форума
Администратор
Сообщения
13,037
Симпатии
5,641
#8
Удалите через установку и удаление программ:
DNS Unlocker version 1.4
MadLen.uCoz.coM Toolbar


Эти программы сами ставили? - MediaGet,PlaysTV,Video and Audio Plugin UBar


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('schtasks.exe', '/delete /TN "Kbupdater Utility" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "Steam-S-1-8-22-9865GUI" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "{780C0947-7A0C-0F78-0F11-057F0A0B1109}" /F', 0, 15000, true);
  ExecuteFile('schtasks.exe', '/delete /TN "{DABFF01A-16D6-3A52-602A-723C28F61302}" /F', 0, 15000, true);
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   TerminateProcessByName('c:\windows\securityprofiles\contor.exe');
   TerminateProcessByName('C:\Windows\SecurityProfiles\MsWss.exe');
   QuarantineFileF('c:\programdata\kbupdater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
   QuarantineFileF('c:\users\евгений\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
   QuarantineFileF('c:\users\евгений\appdata\local\microsoft\extensions', '*', true, '', 0 , 0);
   QuarantineFile('c:\windows\securityprofiles\contor.exe', '');
   QuarantineFile('C:\Windows\SecurityProfiles\MsWss.exe', '');
   QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe', '');
   QuarantineFile('C:\Users\Евгений\AppData\Local\SystemDir\nethost.exe', '');
   QuarantineFile('C:\Users\Евгений\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
   QuarantineFile('C:\Users\Евгений\AppData\Roaming\Steam\Reversed\steam.exe', '');
   QuarantineFile('c:\program files (x86)\raptr inc\playstv\plays_service.exe', '');
   QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{F210B87E-BCF7-46CB-A9DA-2433FEAA86F4}.exe', '');
   QuarantineFile('C:\PROGRA~3\580f093\73df2d96.dll', '');
   DeleteFile('c:\windows\securityprofiles\contor.exe', '32');
   DeleteFile('C:\Windows\SecurityProfiles\MsWss.exe', '32');
   DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe', '32');
   DeleteFile('C:\Users\Евгений\AppData\Local\SystemDir\nethost.exe', '32');
   DeleteFile('C:\Users\Евгений\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
   DeleteFile('C:\Users\Евгений\AppData\Roaming\Steam\Reversed\steam.exe', '32');
   DeleteFile('C:\PROGRA~3\580f093\73df2d96.dll', '32');
   DeleteFile('C:\Windows\system32\Tasks\{780C0947-7A0C-0F78-0F11-057F0A0B1109}', '64');
   DeleteFile('C:\Windows\system32\Tasks\{DABFF01A-16D6-3A52-602A-723C28F61302}', '64');
   DeleteService('MsWss');
   DeleteFileMask('c:\programdata\kbupdater utility', '*', true);
   DeleteFileMask('c:\users\евгений\appdata\local\systemdir', '*', true);
   DeleteFileMask('c:\users\евгений\appdata\local\microsoft\extensions', '*', true);
   DeleteDirectory('c:\programdata\kbupdater utility');
   DeleteDirectory('c:\users\евгений\appdata\local\systemdir');
  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
O2 - BHO: advPlugin - {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} - (no file)
O2 - BHO: VK Downloader - {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} - (no file)
O2 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

евгений123456

Новый пользователь
Сообщения
19
Симпатии
7
#9
MediaGet сам ставил остальные программы не ставил
adwCleaner запустил ничего не чистил просто нажал на отчет
 

Вложения

akok

Команда форума
Администратор
Сообщения
13,768
Симпатии
11,589
#10
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
MediaGet сам ставил остальные программы не ставил
Тогда деинсталируйте их.
 

Кирилл

Команда форума
Администратор
Сообщения
13,037
Симпатии
5,641
#12
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
А это где?
 

Кирилл

Команда форума
Администратор
Сообщения
13,037
Симпатии
5,641
#16
Имейте терпение,вирусню долечить надо
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#18
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Евгений\appdata\local\microsoft\extensions\safebrowser.exe','');
 QuarantineFile('C:\Users\Евгений\appdata\roaming\steam\reversed\steam.exe','');
 DeleteFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\appdistrib','64');
 DeleteFile('C:\Users\Евгений\appdata\roaming\steam\reversed\steam.exe','32');
 DeleteFile('C:\Users\Евгений\appdata\local\microsoft\extensions\safebrowser.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Евгений\appdata\local\microsoft\extensions\safebrowser.exe','');
 QuarantineFile('C:\Users\Евгений\appdata\roaming\steam\reversed\steam.exe','');
 DeleteFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\appdistrib','64');
 DeleteFile('C:\Users\Евгений\appdata\roaming\steam\reversed\steam.exe','32');
 DeleteFile('C:\Users\Евгений\appdata\local\microsoft\extensions\safebrowser.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 

Кирилл

Команда форума
Администратор
Сообщения
13,037
Симпатии
5,641
#20
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{F210B87E-BCF7-46CB-A9DA-2433FEAA86F4}.exe', '');
   QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{28BAF1D5-AA46-4F37-BFBC-908AA544F0C8}.exe', '');
   QuarantineFile('Update DigiHelp.sys', '');
   DeleteFile('Update DigiHelp.sys', '32');
   DeleteService('Update DigiHelp');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".



Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.