karpikart Опубликовано 16 февраля, 2015 Share Опубликовано 16 февраля, 2015 Здравствуйте, у меня вот какая проблема, увидел на рабочем столе надпись " Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы.Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков." В содержании этих файлов сказано следующее "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 3DE25E68C860A4B65167|0 на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации." и тоже самое только на английском языке. Все файлы фотографий музыки и видео теперь в формате xtbl, поискал в сети решение этой проблемы, но не нашел, подскажите пожалуйста как можно побороть данный недуг и спасти файлы? CollectionLog-2015.02.16-20.51.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 февраля, 2015 Share Опубликовано 16 февраля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Вовчик\appdata\roaming\x11\engine.exe',''); QuarantineFile('C:\Users\Вовчик\AppData\Roaming\UPMUZZ.exe',''); QuarantineFile('C:\Users\Вовчик\AppData\Roaming\KAVFKEW.exe',''); QuarantineFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-7.exe',''); QuarantineFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-6.exe',''); QuarantineFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-5.exe',''); QuarantineFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-4.exe',''); QuarantineFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-2.exe',''); QuarantineFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-11.exe',''); QuarantineFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); TerminateProcessByName('c:\users\Вовчик\appdata\roaming\steam\reversed\steam.exe'); QuarantineFile('c:\users\Вовчик\appdata\roaming\steam\reversed\steam.exe',''); DeleteFile('c:\users\Вовчик\appdata\roaming\steam\reversed\steam.exe','32'); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu'); DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32'); DeleteFile('C:\Users\Вовчик\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduClient'); DeleteFile('C:\Users\Вовчик\AppData\Local\Temp\_uninst_57071809.bat','32'); DeleteFile('C:\Users\Вовчик\AppData\Local\Temp\_uninst_79985653.bat','32'); DeleteFile('C:\iexplore.bat','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dosdogxnea'); DeleteFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe','32'); DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-1.job','64'); DeleteFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-11.exe','32'); DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-11.job','64'); DeleteFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-2.exe','32'); DeleteFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-4.exe','32'); DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-4.job','64'); DeleteFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-5.exe','32'); DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-5.job','64'); DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-5_user.job','64'); DeleteFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-6.exe','32'); DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-6.job','64'); DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-7.job','64'); DeleteFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-7.exe','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\KAVFKEW.job','64'); DeleteFile('C:\Windows\Tasks\UPMUZZ.job','64'); DeleteFile('C:\Users\Вовчик\AppData\Roaming\KAVFKEW.exe','32'); DeleteFile('C:\Users\Вовчик\AppData\Roaming\UPMUZZ.exe','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64'); DeleteFile('C:\Windows\system32\Tasks\YTDownloader','64'); DeleteFile('C:\Users\Вовчик\appdata\roaming\x11\engine.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 16 февраля, 2015 Share Опубликовано 16 февраля, 2015 + Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
karpikart Опубликовано 17 февраля, 2015 Автор Share Опубликовано 17 февраля, 2015 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Вот что мне прислали Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.chrome.bat,iexplore.batПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzosteam.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wywЭто - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.KAVFKEW.exe,UPMUZZ.exe - not-a-virus:AdWare.NSIS.Adwapper.doЭто файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdatesС уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" + Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. mike 1прошу прощения в первый раз не от админа запускал программу вот второй файл AdwCleanerR0.txt AdwCleanerR1.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 17 февраля, 2015 Share Опубликовано 17 февраля, 2015 удалите всё найденное в AdwCleaner новый лог приложите. http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160 Ссылка на комментарий Поделиться на другие сайты More sharing options...
karpikart Опубликовано 17 февраля, 2015 Автор Share Опубликовано 17 февраля, 2015 удалите всё найденное в AdwCleaner новый лог приложите. http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160 AdwCleanerR2.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 17 февраля, 2015 Share Опубликовано 17 февраля, 2015 Folder Found : C:\Users\Вовчик\AppData\Roaming\zona повторите удаление. новый лог приложите. Ссылка на комментарий Поделиться на другие сайты More sharing options...
karpikart Опубликовано 7 марта, 2015 Автор Share Опубликовано 7 марта, 2015 прошу прощения за задержку AdwCleanerS2.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 7 марта, 2015 Share Опубликовано 7 марта, 2015 чисто. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 7 марта, 2015 Share Опубликовано 7 марта, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
karpikart Опубликовано 8 марта, 2015 Автор Share Опубликовано 8 марта, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 8 марта, 2015 Share Опубликовано 8 марта, 2015 @karpikart, как Вы умудрились между логами заразить систему бронтоком? Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Task: {E3658AE9-1052-4703-BF22-58B8EF30A6B8} - \Microsoft\Windows\Multimedia\SMupdate3 No Task File <==== ATTENTION Task: {E3B20026-D538-49B8-8B1F-4FB20BA1D272} - System32\Tasks\newSI_632 => C:\Users\Вовчик\AppData\Roaming\newSI_632\s_inst.exe [2014-12-03] () Task: {E4269FD5-E93E-4C98-BDF3-743F42A71159} - System32\Tasks\newSI_645 => C:\Users\Вовчик\AppData\Roaming\newSI_645\s_inst.exe [2015-02-11] () Task: C:\Windows\Tasks\newSI_620.job => C:\Users\>2G8:\AppData\Roaming\newSI_620\s_inst.exe Task: C:\Windows\Tasks\newSI_632.job => C:\Users\>2G8:\AppData\Roaming\newSI_632\s_inst.exe Task: C:\Windows\Tasks\newSI_636.job => C:\Users\>2G8:\AppData\Roaming\newSI_636\s_inst.exe Task: C:\Windows\Tasks\newSI_637.job => C:\Users\>2G8:\AppData\Roaming\newSI_637\s_inst.exe Task: C:\Windows\Tasks\newSI_645.job => C:\Users\>2G8:\AppData\Roaming\newSI_645\s_inst.exe 2011-10-06 17:29 - 2012-04-17 11:11 - 00042687 ____N () C:\Users\Вовчик\AppData\Local\winlogon.exe 2011-10-06 17:29 - 2012-04-17 11:11 - 00042687 _____ () C:\Users\Вовчик\AppData\Local\services.exe 2011-10-06 17:29 - 2012-04-17 11:11 - 00042687 _____ () C:\Users\Вовчик\AppData\Local\lsass.exe HKLM-x32\...\Winlogon: [Shell] Explorer.exe "C:\Windows\eksplorasi.exe" [42687 ] () <=== ATTENTION HKLM-x32\...\Run: [ZaxarLoader] => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent HKU\S-1-5-21-30756018-1987163560-2035619167-1000\...\Run: [amigo] => [X] HKU\S-1-5-21-30756018-1987163560-2035619167-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Вовчик\AppData\Local\smss.exe [42687 2012-04-17] () HKU\S-1-5-21-30756018-1987163560-2035619167-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-30756018-1987163560-2035619167-1000\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => "C:\Windows\System32\config\systemprofile\AppData\Local\smss.exe" HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Users\Вовчик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-30756018-1987163560-2035619167-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION FF Extension: No Name - C:\Users\Вовчик\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\itsoc@tele-walk.ru [2015-01-13] CHR DefaultSearchURL: Default -> http://go-search.ru/search?q={searchTerms} CHR Extension: (FullProtected) - C:\Users\Вовчик\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2015-02-15] CHR Extension: (No Name) - C:\Users\Вовчик\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-12-01] CHR Extension: (Advisor) - C:\Users\Вовчик\AppData\Local\Google\Chrome\User Data\Default\Extensions\hhdjegdllbnhgdbkamlghkfcjnkilinm [2015-02-20] CHR Extension: (No Name) - C:\Users\Вовчик\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccogepdpdnpcoblidpcjgmdcafinijg [2015-03-07] CHR Extension: (Targeting Center) - C:\Users\Вовчик\AppData\Local\Google\Chrome\User Data\Default\Extensions\piinjfbkomhbihijnanbkdkcodgficdn [2015-02-20] CHR HKU\S-1-5-21-30756018-1987163560-2035619167-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx 2015-03-08 14:40 - 2015-03-08 14:40 - 00030412 _____ () C:\Users\Вовчик\AppData\Local\Update.12.Bron.Tok.bin 2015-03-08 14:35 - 2015-03-08 14:35 - 00030412 _____ () C:\Users\Вовчик\AppData\Local\Bron.tok.A12.em.bin 2015-03-08 00:00 - 2015-03-08 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-8 2015-03-07 00:00 - 2015-03-07 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-7 2015-03-06 00:00 - 2015-03-06 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-6 2015-03-05 00:00 - 2015-03-05 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-5 2015-03-04 00:00 - 2015-03-04 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-4 2015-03-03 00:00 - 2015-03-03 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-3 2015-03-02 00:00 - 2015-03-02 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-2 2015-03-01 19:16 - 2015-03-04 02:49 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Loc.Mail.Bron.Tok 2015-03-01 19:16 - 2015-03-01 19:16 - 00000051 _____ () C:\Users\Вовчик\AppData\Local\Kosong.Bron.Tok.txt 2015-03-01 19:16 - 2015-03-01 19:16 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Ok-SendMail-Bron-tok 2015-03-01 13:27 - 2015-03-01 13:27 - 00030408 _____ () C:\Users\Вовчик\AppData\Local\ListHost12.txt 2015-03-01 13:27 - 2015-03-01 13:27 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-1 2015-02-20 07:51 - 2015-02-20 07:51 - 00000040 _____ () C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2015-02-20 07:51 - 2015-02-20 07:51 - 00000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2015-02-20 06:17 - 2015-03-07 16:36 - 00000418 _____ () C:\Windows\Tasks\newSI_637.job 2015-02-20 06:17 - 2015-03-07 16:36 - 00000418 _____ () C:\Windows\Tasks\newSI_632.job 2015-02-20 06:17 - 2015-03-07 16:36 - 00000418 _____ () C:\Windows\Tasks\newSI_620.job 2015-02-20 06:17 - 2015-02-20 06:17 - 00003108 _____ () C:\Windows\System32\Tasks\newSI_637 2015-02-20 06:17 - 2015-02-20 06:17 - 00003108 _____ () C:\Windows\System32\Tasks\newSI_632 2015-02-20 06:17 - 2015-02-20 06:17 - 00003108 _____ () C:\Windows\System32\Tasks\newSI_620 2015-02-20 06:17 - 2015-02-20 06:17 - 00000000 ____D () C:\Users\Вовчик\AppData\Roaming\newSI_637 2015-02-20 06:17 - 2015-02-20 06:17 - 00000000 ____D () C:\Users\Вовчик\AppData\Roaming\newSI_632 2015-02-20 06:17 - 2015-02-20 06:17 - 00000000 ____D () C:\Users\Вовчик\AppData\Roaming\newSI_620 2015-02-20 06:16 - 2015-03-07 16:36 - 00000418 _____ () C:\Windows\Tasks\newSI_645.job 2015-02-20 06:16 - 2015-03-07 16:36 - 00000418 _____ () C:\Windows\Tasks\newSI_636.job 2015-03-07 16:43 - 2009-07-14 08:45 - 00026352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2015-03-07 16:43 - 2009-07-14 08:45 - 00026352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2015-02-15 00:30 - 2015-01-13 18:16 - 00000235 _____ () C:\Windows\SysWOW64\removeSAddons.bat 2015-02-20 07:51 - 2015-02-20 07:51 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2015-01-27 09:28 - 2015-01-27 09:28 - 6220854 _____ () C:\Users\Вовчик\AppData\Roaming\02D0255D02D0255D.bmp 2015-01-26 14:28 - 2015-01-26 14:28 - 0442896 _____ () C:\Users\Вовчик\AppData\Roaming\data13.dat 2014-09-04 01:36 - 2014-09-04 01:36 - 0002086 _____ () C:\Users\Вовчик\AppData\Roaming\KAVFKEW 2015-01-13 18:16 - 2015-01-13 18:16 - 0000001 _____ () C:\Users\Вовчик\AppData\Roaming\smw_inst 2015-01-26 14:28 - 2015-01-26 14:28 - 0442880 _____ () C:\Users\Вовчик\AppData\Roaming\ssleas.exe 2014-09-04 01:36 - 2014-09-04 01:36 - 0001248 _____ () C:\Users\Вовчик\AppData\Roaming\UPMUZZ 2015-03-08 14:35 - 2015-03-08 14:35 - 0030412 _____ () C:\Users\Вовчик\AppData\Local\Bron.tok.A12.em.bin 2011-10-06 17:29 - 2012-04-17 11:11 - 0042687 _____ () C:\Users\Вовчик\AppData\Local\csrss.exe 2011-10-06 17:29 - 2012-04-17 11:11 - 0042687 _____ () C:\Users\Вовчик\AppData\Local\inetinfo.exe 2015-03-01 19:16 - 2015-03-01 19:16 - 0000051 _____ () C:\Users\Вовчик\AppData\Local\Kosong.Bron.Tok.txt 2015-03-01 13:27 - 2015-03-01 13:27 - 0030408 _____ () C:\Users\Вовчик\AppData\Local\ListHost12.txt 2011-10-06 17:29 - 2012-04-17 11:11 - 0042687 _____ () C:\Users\Вовчик\AppData\Local\lsass.exe 2014-12-17 20:53 - 2014-12-17 20:53 - 0613057 _____ (CMI Limited) C:\Users\Вовчик\AppData\Local\nsnDAC7.tmp 2011-10-06 17:29 - 2012-04-17 11:11 - 0042687 _____ () C:\Users\Вовчик\AppData\Local\services.exe 2011-10-06 17:29 - 2012-04-17 11:11 - 0042687 _____ () C:\Users\Вовчик\AppData\Local\smss.exe 2015-03-08 14:40 - 2015-03-08 14:40 - 0030412 _____ () C:\Users\Вовчик\AppData\Local\Update.12.Bron.Tok.bin 2011-10-06 17:29 - 2012-04-17 11:11 - 0042687 ____N () C:\Users\Вовчик\AppData\Local\winlogon.exe C:\Users\Вовчик\AppData\Local\Temp\2A10A868-0A97-2FC9-679F-5F5FE6324AF9.dll C:\Users\Вовчик\AppData\Local\Temp\2A10A868-0A97-2FC9-679F-5F5FE6324AF9.exe C:\Users\Вовчик\AppData\Local\Temp\2TYcmjYtmms0.exe C:\Users\Вовчик\AppData\Local\Temp\5m8jIw16HMYs.exe C:\Users\Вовчик\AppData\Local\Temp\6KJU8ZH6694B.exe C:\Users\Вовчик\AppData\Local\Temp\a4uJ4VV4G7PW.exe C:\Users\Вовчик\AppData\Local\Temp\a53xPahbEMJt.exe C:\Users\Вовчик\AppData\Local\Temp\A8C372BE-B4A4-48E6-B5BE-9311CE053084.exe C:\Users\Вовчик\AppData\Local\Temp\accesspoint_11725045.2.1.exe C:\Users\Вовчик\AppData\Local\Temp\APNSetup.exe C:\Users\Вовчик\AppData\Local\Temp\aTB42V3NHc0R.exe C:\Users\Вовчик\AppData\Local\Temp\baidu.exe C:\Users\Вовчик\AppData\Local\Temp\bcbhcabecbgh.exe C:\Users\Вовчик\AppData\Local\Temp\BingBarSetup-Partner.exe C:\Users\Вовчик\AppData\Local\Temp\CeruN0YycS9H.exe C:\Users\Вовчик\AppData\Local\Temp\cNhlDFWB4YVR.exe C:\Users\Вовчик\AppData\Local\Temp\F1023_s_30768.exe C:\Users\Вовчик\AppData\Local\Temp\fjm9YGqnR2Sa.exe C:\Users\Вовчик\AppData\Local\Temp\G1023_s_71023.exe C:\Users\Вовчик\AppData\Local\Temp\HdtwI8yQM0YX.exe C:\Users\Вовчик\AppData\Local\Temp\IAv7ivYdGRbW.exe C:\Users\Вовчик\AppData\Local\Temp\jre-8u31-windows-au.exe C:\Users\Вовчик\AppData\Local\Temp\MailRuUpdater.exe C:\Users\Вовчик\AppData\Local\Temp\MJQ3mShWqpFb.exe C:\Users\Вовчик\AppData\Local\Temp\N9wlgSO1kHsN.exe C:\Users\Вовчик\AppData\Local\Temp\net27EC.tmp.exe C:\Users\Вовчик\AppData\Local\Temp\ozR6ado8rsOz.exe C:\Users\Вовчик\AppData\Local\Temp\PhJk0kaqvCV1.exe C:\Users\Вовчик\AppData\Local\Temp\Quarantine.exe C:\Users\Вовчик\AppData\Local\Temp\R5x2BvXM2xOG.exe C:\Users\Вовчик\AppData\Local\Temp\sender.exe C:\Users\Вовчик\AppData\Local\Temp\SpOrder.dll C:\Users\Вовчик\AppData\Local\Temp\sqlite3.dll C:\Users\Вовчик\AppData\Local\Temp\T9Udp5NPHzzJ.exe C:\Users\Вовчик\AppData\Local\Temp\tmp8409.exe C:\Users\Вовчик\AppData\Local\Temp\tmp8429.exe C:\Users\Вовчик\AppData\Local\Temp\tmp880F.exe C:\Users\Вовчик\AppData\Local\Temp\tu17p84.exe C:\Users\Вовчик\AppData\Local\Temp\txKaTTKYpxDk.exe C:\Users\Вовчик\AppData\Local\Temp\XiHi0xNfrCrp.exe C:\Users\Вовчик\AppData\Local\Temp\XMl5PbioHbHM.exe C:\Users\Вовчик\AppData\Local\Temp\YandexDownloader.exe C:\Users\Вовчик\AppData\Local\Temp\YPM6ZGE7D9J4.exe C:\Users\Вовчик\AppData\Local\Temp\ZaxarSetup.4.001.30.exe 2015-03-01 13:27 - 2015-03-01 13:27 - 00030408 ____A C:\Windows\system32\Drivers\etc\hosts Task: {1430689A-798D-45D2-8DEB-82EFE1869BE4} - System32\Tasks\newSI_636 => C:\Users\Вовчик\AppData\Roaming\newSI_636\s_inst.exe [2015-01-26] () EmptyTemp: Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.Приложите также стандартные логи автологгера. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти