Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Зашифровались в .xtbl все фото и музыка

Beldima
 Поделиться

Рекомендуемые сообщения

Beldima Новичок

Beldima

Опубликовано
Опубликовано
Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

8B4912429B46D3F3D233|0

на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

KVRTQ0000.rar

CollectionLog-2015.03.09-15.50.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\Лена\appdata\roaming\uvxrxke=\twunk_16.exe');
 TerminateProcessByName('c:\users\Лена\appdata\roaming\11318128\svchost.exe');
 QuarantineFile('C:\Users\Лена\appdata\roaming\rundll32.exe','');
 QuarantineFile('C:\Windows\winupdaterstd\svchost.exe','');
 QuarantineFile('C:\Windows\SysWOW64\csrss.exe','');
 QuarantineFile('C:\Users\Лена\M-5050260385760560206876\winmgr.exe','');
 QuarantineFile('C:\Users\Лена\M-254056840394860302040\winsvc.exe','');
 QuarantineFile('C:\Users\Лена\M-254056840394860245302040\winsvc.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\svchost.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\dsiswjtj\stijvidt.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\gupdater.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.exe','');
 QuarantineFile('C:\Users\1288~1\AppData\Roaming\msjvve.exe','');
 QuarantineFile('C:\Temp\A087.tmp.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\PROGRA~3\msjvve.exe','');
 QuarantineFile('C:\Windows\Installer\{F691014E-D16E-0233-D60B-10D1B5E97019}\syshost.exe','');
 QuarantineFile('c:\users\Лена\appdata\roaming\uvxrxke=\twunk_16.exe','');
 QuarantineFile('c:\users\Лена\appdata\roaming\11318128\svchost.exe','');
 DeleteFile('c:\users\Лена\appdata\roaming\11318128\svchost.exe','32');
 DeleteFile('C:\Windows\Installer\{F691014E-D16E-0233-D60B-10D1B5E97019}\syshost.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\PROGRA~3\msjvve.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Temp\A087.tmp.exe','32');
 DeleteFile('C:\Users\1288~1\AppData\Roaming\msjvve.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\gupdater.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\UVxRXkE=\twunk_16.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\dsiswjtj\stijvidt.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\svchost.exe','32');
 DeleteFile('C:\Users\Лена\M-254056840394860245302040\winsvc.exe','32');
 DeleteFile('C:\Users\Лена\M-254056840394860302040\winsvc.exe','32');
 DeleteFile('C:\Users\Лена\M-5050260385760560206876\winmgr.exe','32');
 DeleteFile('C:\Windows\SysWOW64\csrss.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
 DeleteFile('C:\Windows\winupdaterstd\svchost.exe','32');
 DeleteFile('C:\Users\Лена\appdata\roaming\rundll32.exe','32');
 RegKeyResetSecurity('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run');
 RegKeyResetSecurity('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2361121036');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Systeams','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2361121036');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','twunk_16.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','JpegView');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\JpegView','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Service Host Process for Windows','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Services','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Service','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Manager','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Host-process Windows (Rundll32.exe)','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','z64_kernel');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','z64_kernel');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteService('BAPIDRV');
 DeleteService('syshost32');   
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392036945&from=amt&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392036945&from=amt&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB
O2 - BHO: ie2.BHO - {40aef60b-a6f8-4389-9003-a683dd75b850} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [update] C:\Users\Лена\AppData\Roaming\Microsoft\Windows\gupdater.exe
O4 - HKLM\..\Run: [twunk_16.exe] C:\Users\Лена\AppData\Roaming\UVxRXkE=\twunk_16.exe
O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
O4 - HKLM\..\Run: [z64_kernel] c:\users\Лена\appdata\roaming\11318128\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [2361121036] C:\PROGRA~3\msjvve.exe
O4 - HKLM\..\Policies\Explorer\Run: [z64_kernel] c:\users\Лена\appdata\roaming\11318128\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [JpegView] C:\Users\Лена\AppData\Roaming\dsiswjtj\stijvidt.exe
O4 - HKCU\..\Policies\Explorer\Run: [2361121036] C:\Users\1288~1\AppData\Roaming\msjvve.exe
O4 - Startup: update.exe
 
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 
 

 

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
  • 1 месяц спустя...
Beldima Новичок

Beldima

Опубликовано
  • Автор
Опубликовано
Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

 

A087.tmp.exe,

stijvidt.exe - Trojan.Win32.Crypt.dfh

csrss.exe,

rundll32.exe,

svchost_0.exe - Trojan.Win32.Reconyc.dvmv

gupdater.exe,

update.exe - Trojan-Ransom.Win32.Foreign.lxrn

msjvve.exe - Backdoor.Win32.Zegost.dfxh

svchost.exe - Trojan.Win32.Yakes.jrwy

svchost_1.exe - Trojan.Win32.Reconyc.duwg

twunk_16.exe - Backdoor.Win32.Androm.giws

winmgr.exe - Trojan.Win32.Inject.uobn

winsvc.exe - Trojan.Win32.Inject.unyr

winsvc_0.exe - Trojan.Win32.Inject.sbpq

 

Детектирование файлов будет добавлено в следующее обновление.

 

С уважением, Лаборатория Касперского

 

KLAN-2713772323

AdwCleanerR0.txt

ClearLNK-26.04.2015_09-54.log

hijackthis.log

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [update] => C:\Users\Лена\AppData\Roaming\Microsoft\Windows\gupdater.exe
HKLM-x32\...\Run: [twunk_16.exe] => C:\Users\Лена\AppData\Roaming\UVxRXkE=\twunk_16.exe
HKLM-x32\...\Run: [ZaxarLoader] => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
HKLM-x32\...\Run: [z64_kernel] => c:\users\Лена\appdata\roaming\11318128\svchost.exe
HKU\S-1-5-21-603050476-3827020187-3617320232-1000\...\Winlogon: [Shell] C:\Users\Лена\AppData\Roaming\focus.3ds [39424 2013-11-24] () <==== ATTENTION 
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-603050476-3827020187-3617320232-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF Extension: No Name -  C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha1565\ff [Not Found]
FF Extension: No Name -  C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home808\ff [Not Found]
FF Extension: No Name -  C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode2873\ff [Not Found]
FF Extension: No Name -  C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found]
FF Extension: No Name - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\helper@helper [Not Found]
FF Extension: No Name - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [Not Found]
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
2026-09-23 17:47 - 2026-09-23 17:48 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\extension
2015-03-09 12:16 - 2015-04-25 20:05 - 00000000 _RSHD () C:\Users\Лена\M-254056840394860245302040
2015-03-09 09:51 - 2015-04-25 20:05 - 00000000 _RSHD () C:\Users\Лена\M-5050260385760560206876
2015-03-08 17:08 - 2015-03-08 17:08 - 00000000 _RSHD () C:\Users\Лена\M-50502603857602846570206876
2015-03-08 14:34 - 2015-04-25 20:05 - 00000000 _RSHD () C:\Users\Лена\M-254056840394860302040
2015-03-08 14:33 - 2015-03-09 09:50 - 00000000 ____H () C:\Users\Лена\AppData\Roaming\winmgr.txt
2015-03-08 14:32 - 2015-03-08 14:32 - 00000000 _RSHD () C:\Users\Лена\M-5050260385902846570206876
2015-03-05 13:51 - 2015-03-05 19:30 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\fesbo
2015-03-05 07:44 - 2015-03-05 07:44 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\GemWare
2015-03-05 07:35 - 2015-03-05 18:34 - 00000624 _____ () C:\Users\Лена\AppData\Roaming\focus.tga
2015-03-05 07:35 - 2015-03-05 07:35 - 00013832 _____ () C:\Users\Лена\AppData\Roaming\92007b47dda0fd7.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 00013832 _____ () C:\Users\Лена\AppData\Roaming\80a04047ef55c4d.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 00013832 _____ () C:\Users\Лена\AppData\Roaming\3da046029984bfa.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 00013832 _____ () C:\Users\Лена\AppData\Roaming\38c04b86236ab02.xml
2015-03-05 07:32 - 2015-03-05 19:50 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\Microsoft Update
2015-03-04 12:25 - 2015-02-15 21:36 - 00061678 ____H () C:\Users\Default\AppData\Roaming\fx.exe
2015-03-04 12:25 - 2015-02-15 21:36 - 00061678 ____H () C:\Users\Default User\AppData\Roaming\fx.exe
2015-03-04 12:25 - 2014-10-14 11:28 - 01419264 ___RH () C:\Users\Default\AppData\Roaming\dotnetfx32.exe
2015-03-04 12:25 - 2014-10-14 11:28 - 01419264 ___RH () C:\Users\Default User\AppData\Roaming\dotnetfx32.exe
2015-03-02 11:26 - 2015-03-02 11:26 - 00000722 __RSH () C:\Users\Лена\ntuser.pol
2015-02-27 07:31 - 2015-04-25 20:05 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\11318128
2015-02-17 07:37 - 2015-02-17 07:37 - 03072054 _____ () C:\Users\Лена\AppData\Roaming\314E5C7E314E5C7E.bmp
2015-02-16 22:32 - 2015-03-05 19:50 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-02-16 22:32 - 2015-03-05 19:50 - 00000000 __SHD () C:\ProgramData\Windows
2015-04-25 20:06 - 2013-11-24 10:03 - 00000000 __SHD () C:\Users\Лена\AppData\Roaming\dsiswjtj
2014-02-10 16:30 - 2014-02-10 16:30 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-02-17 07:37 - 2015-02-17 07:37 - 3072054 _____ () C:\Users\Лена\AppData\Roaming\314E5C7E314E5C7E.bmp
2015-03-05 07:35 - 2015-03-05 07:35 - 0013832 _____ () C:\Users\Лена\AppData\Roaming\38c04b86236ab02.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 0013832 _____ () C:\Users\Лена\AppData\Roaming\3da046029984bfa.xml
2015-03-05 13:51 - 2015-03-05 13:51 - 0334848 _____ (Igor Pavlov) C:\Users\Лена\AppData\Roaming\7z.dll
2015-03-05 07:35 - 2015-03-05 07:35 - 0013832 _____ () C:\Users\Лена\AppData\Roaming\80a04047ef55c4d.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 0013832 _____ () C:\Users\Лена\AppData\Roaming\92007b47dda0fd7.xml
2013-11-24 10:03 - 2013-11-24 10:03 - 0039424 _____ () C:\Users\Лена\AppData\Roaming\focus.3ds
2015-03-05 07:35 - 2015-03-05 18:34 - 0000624 _____ () C:\Users\Лена\AppData\Roaming\focus.tga
2015-03-05 13:51 - 2015-03-05 13:51 - 0684032 _____ (The OpenSSL Project, http://www.openssl.org/) C:\Users\Лена\AppData\Roaming\libeay32.dll
2015-03-05 13:51 - 2015-03-05 13:51 - 0150528 _____ (The OpenSSL Project, http://www.openssl.org/) C:\Users\Лена\AppData\Roaming\ssleay32.dll
2014-04-04 20:52 - 2014-09-10 18:39 - 0000826 _____ () C:\Users\Лена\AppData\Roaming\tlauncher.rmo.cfg
2015-03-08 14:33 - 2015-03-09 09:50 - 0000000 ____H () C:\Users\Лена\AppData\Roaming\winmgr.txt
Task: {9188F79A-B6C7-47CC-972D-9C9DC5206D8C} - \Kinoroom Browser No Task File <==== ATTENTION
Task: {E48442BE-845A-46C9-98B8-5357EDEF6F24} - \kbrowser-updater-utility No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B
FirewallRules: [{06E53A54-390B-4CC7-8AB9-1D6ED8771A85}] => (Allow) c:\users\Лена\appdata\roaming\11318128\svchost.exe
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-5050260385902846570206876\winmgr.exe] => Enabled:Microsoft Windows Manager
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-254056840394860302040\winsvc.exe] => Enabled:Microsoft Windows Service
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-50502603857602846570206876\winmgr.exe] => Enabled:Microsoft Windows Manager
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-5050260385760560206876\winmgr.exe] => Enabled:Microsoft Windows Manager
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-254056840394860245302040\winsvc.exe] => Enabled:Microsoft Windows Services
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

FF Extension: No Name -  C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha1565\ff [Not Found]

FF Extension: No Name -  C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home808\ff [Not Found]

FF Extension: No Name -  C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode2873\ff [Not Found]

FF Extension: No Name -  C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found]

FF Extension: No Name - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\helper@helper [Not Found]

FF Extension: No Name - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [Not Found]

FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home808.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home808\ff

FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release76.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release76\ff

2015-03-03 07:20 - 2015-03-03 07:20 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\CryptoDB

2015-03-02 11:27 - 2015-03-05 07:44 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\LiteDB

Reboot:



  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Falcon
      Какую музыку слушают участники клуба?
      Автор Falcon
      Очень хочется узнать ваши музыкальные предпочтения но так как больше 20 вариантов добавить не получилось, то опросик немного узкопрофильный. Но можно будет добавить еще вариантов по вашим пожеланиям, которые вы выскажете в своих сообщениях
      P.S. Я исправился - теперь можно выбирать несколько вариантов ответа.
       
      Я слушаю разную музыку: Метал, Индастриал, Альтернативу, Готику, Панк, хардкор и хард рок, пауэр
    • E.K.
      Фото-гео-загадочное, ошеломляющее и невозможное.
      Автор E.K.
      Всем привет!
       
      По ходу жизни мы все иногда сталкиваемся с разными визуальными несуразностями, которые можно сфотографировать - или которые уже существуют в виде фоток. Например, однажды в небольшом магазинчике на Гавайях я обнаружил... водку Камчатка!

       
      Судя по цене - пойло должно было оказаться мерзким. Насколько помню, экспериментировать не стал. Что интересно, обнаружено это было в магазинчике в местной базе отдыха для американских военных и их семей. Как я туда попал - отдельная история...

       
      Или меня постоянно удивляет кофе "Georgia" в японских уличных магазинах и вендинговых автоматах:

       
      Процитирую себя
      "Каждый раз в Японии меня умиляет кофейный бренд "GEORGIA" со снежными вершинами на картинке.
      Никак не могу понять - если это американская Джорджия - то при чём здесь горы? Если же это Грузия - то при чём здесь кофе? Но в Японии эти несовместимые несовместимости вполне себя неплохо чувствуют в повсеместно расставленных вендинговых машинках. Хотя... Если посмотреть по сторонам.. Например, "Спартак" и "Динамо".. ... - какое отношение эти бренды имеют к футболу?"
       
      Кстати, а почему он на картинке в каске? Зачем это кофе надо пить в каске?..

       
      Так вот, картинок таких наверняка не только у меня достаточно - посему эта тема будет как раз посвящена разным фоткам с несуразностями, загадками - и разными прочими подобными тоже. Спасибо Борису за подсказку!
       
       
      Ну, можно начинать.
    • BeckOs
      Зашифрованы все файлы
      Автор BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

×
×
  • Создать...