Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

8B4912429B46D3F3D233|0

на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

KVRTQ0000.rar

CollectionLog-2015.03.09-15.50.zip

Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\Лена\appdata\roaming\uvxrxke=\twunk_16.exe');
 TerminateProcessByName('c:\users\Лена\appdata\roaming\11318128\svchost.exe');
 QuarantineFile('C:\Users\Лена\appdata\roaming\rundll32.exe','');
 QuarantineFile('C:\Windows\winupdaterstd\svchost.exe','');
 QuarantineFile('C:\Windows\SysWOW64\csrss.exe','');
 QuarantineFile('C:\Users\Лена\M-5050260385760560206876\winmgr.exe','');
 QuarantineFile('C:\Users\Лена\M-254056840394860302040\winsvc.exe','');
 QuarantineFile('C:\Users\Лена\M-254056840394860245302040\winsvc.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\svchost.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\dsiswjtj\stijvidt.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\gupdater.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.exe','');
 QuarantineFile('C:\Users\1288~1\AppData\Roaming\msjvve.exe','');
 QuarantineFile('C:\Temp\A087.tmp.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\PROGRA~3\msjvve.exe','');
 QuarantineFile('C:\Windows\Installer\{F691014E-D16E-0233-D60B-10D1B5E97019}\syshost.exe','');
 QuarantineFile('c:\users\Лена\appdata\roaming\uvxrxke=\twunk_16.exe','');
 QuarantineFile('c:\users\Лена\appdata\roaming\11318128\svchost.exe','');
 DeleteFile('c:\users\Лена\appdata\roaming\11318128\svchost.exe','32');
 DeleteFile('C:\Windows\Installer\{F691014E-D16E-0233-D60B-10D1B5E97019}\syshost.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\PROGRA~3\msjvve.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Temp\A087.tmp.exe','32');
 DeleteFile('C:\Users\1288~1\AppData\Roaming\msjvve.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\gupdater.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\UVxRXkE=\twunk_16.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\dsiswjtj\stijvidt.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\svchost.exe','32');
 DeleteFile('C:\Users\Лена\M-254056840394860245302040\winsvc.exe','32');
 DeleteFile('C:\Users\Лена\M-254056840394860302040\winsvc.exe','32');
 DeleteFile('C:\Users\Лена\M-5050260385760560206876\winmgr.exe','32');
 DeleteFile('C:\Windows\SysWOW64\csrss.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
 DeleteFile('C:\Windows\winupdaterstd\svchost.exe','32');
 DeleteFile('C:\Users\Лена\appdata\roaming\rundll32.exe','32');
 RegKeyResetSecurity('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run');
 RegKeyResetSecurity('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2361121036');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Systeams','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2361121036');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','twunk_16.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','JpegView');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\JpegView','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Service Host Process for Windows','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Services','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Service','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Manager','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Host-process Windows (Rundll32.exe)','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','z64_kernel');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','z64_kernel');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteService('BAPIDRV');
 DeleteService('syshost32');   
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392036945&from=amt&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392036945&from=amt&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB
O2 - BHO: ie2.BHO - {40aef60b-a6f8-4389-9003-a683dd75b850} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [update] C:\Users\Лена\AppData\Roaming\Microsoft\Windows\gupdater.exe
O4 - HKLM\..\Run: [twunk_16.exe] C:\Users\Лена\AppData\Roaming\UVxRXkE=\twunk_16.exe
O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
O4 - HKLM\..\Run: [z64_kernel] c:\users\Лена\appdata\roaming\11318128\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [2361121036] C:\PROGRA~3\msjvve.exe
O4 - HKLM\..\Policies\Explorer\Run: [z64_kernel] c:\users\Лена\appdata\roaming\11318128\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [JpegView] C:\Users\Лена\AppData\Roaming\dsiswjtj\stijvidt.exe
O4 - HKCU\..\Policies\Explorer\Run: [2361121036] C:\Users\1288~1\AppData\Roaming\msjvve.exe
O4 - Startup: update.exe
 
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 
 

 

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

  • Согласен 2
  • 1 месяц спустя...
Опубликовано
Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

 

A087.tmp.exe,

stijvidt.exe - Trojan.Win32.Crypt.dfh

csrss.exe,

rundll32.exe,

svchost_0.exe - Trojan.Win32.Reconyc.dvmv

gupdater.exe,

update.exe - Trojan-Ransom.Win32.Foreign.lxrn

msjvve.exe - Backdoor.Win32.Zegost.dfxh

svchost.exe - Trojan.Win32.Yakes.jrwy

svchost_1.exe - Trojan.Win32.Reconyc.duwg

twunk_16.exe - Backdoor.Win32.Androm.giws

winmgr.exe - Trojan.Win32.Inject.uobn

winsvc.exe - Trojan.Win32.Inject.unyr

winsvc_0.exe - Trojan.Win32.Inject.sbpq

 

Детектирование файлов будет добавлено в следующее обновление.

 

С уважением, Лаборатория Касперского

 

KLAN-2713772323

AdwCleanerR0.txt

ClearLNK-26.04.2015_09-54.log

hijackthis.log

  • Согласен 1
Опубликовано
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
  • Согласен 2
  • 2 недели спустя...
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Опубликовано

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [update] => C:\Users\Лена\AppData\Roaming\Microsoft\Windows\gupdater.exe
HKLM-x32\...\Run: [twunk_16.exe] => C:\Users\Лена\AppData\Roaming\UVxRXkE=\twunk_16.exe
HKLM-x32\...\Run: [ZaxarLoader] => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
HKLM-x32\...\Run: [z64_kernel] => c:\users\Лена\appdata\roaming\11318128\svchost.exe
HKU\S-1-5-21-603050476-3827020187-3617320232-1000\...\Winlogon: [Shell] C:\Users\Лена\AppData\Roaming\focus.3ds [39424 2013-11-24] () <==== ATTENTION 
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-603050476-3827020187-3617320232-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF Extension: No Name -  C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha1565\ff [Not Found]
FF Extension: No Name -  C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home808\ff [Not Found]
FF Extension: No Name -  C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode2873\ff [Not Found]
FF Extension: No Name -  C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found]
FF Extension: No Name - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\helper@helper [Not Found]
FF Extension: No Name - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [Not Found]
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
2026-09-23 17:47 - 2026-09-23 17:48 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\extension
2015-03-09 12:16 - 2015-04-25 20:05 - 00000000 _RSHD () C:\Users\Лена\M-254056840394860245302040
2015-03-09 09:51 - 2015-04-25 20:05 - 00000000 _RSHD () C:\Users\Лена\M-5050260385760560206876
2015-03-08 17:08 - 2015-03-08 17:08 - 00000000 _RSHD () C:\Users\Лена\M-50502603857602846570206876
2015-03-08 14:34 - 2015-04-25 20:05 - 00000000 _RSHD () C:\Users\Лена\M-254056840394860302040
2015-03-08 14:33 - 2015-03-09 09:50 - 00000000 ____H () C:\Users\Лена\AppData\Roaming\winmgr.txt
2015-03-08 14:32 - 2015-03-08 14:32 - 00000000 _RSHD () C:\Users\Лена\M-5050260385902846570206876
2015-03-05 13:51 - 2015-03-05 19:30 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\fesbo
2015-03-05 07:44 - 2015-03-05 07:44 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\GemWare
2015-03-05 07:35 - 2015-03-05 18:34 - 00000624 _____ () C:\Users\Лена\AppData\Roaming\focus.tga
2015-03-05 07:35 - 2015-03-05 07:35 - 00013832 _____ () C:\Users\Лена\AppData\Roaming\92007b47dda0fd7.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 00013832 _____ () C:\Users\Лена\AppData\Roaming\80a04047ef55c4d.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 00013832 _____ () C:\Users\Лена\AppData\Roaming\3da046029984bfa.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 00013832 _____ () C:\Users\Лена\AppData\Roaming\38c04b86236ab02.xml
2015-03-05 07:32 - 2015-03-05 19:50 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\Microsoft Update
2015-03-04 12:25 - 2015-02-15 21:36 - 00061678 ____H () C:\Users\Default\AppData\Roaming\fx.exe
2015-03-04 12:25 - 2015-02-15 21:36 - 00061678 ____H () C:\Users\Default User\AppData\Roaming\fx.exe
2015-03-04 12:25 - 2014-10-14 11:28 - 01419264 ___RH () C:\Users\Default\AppData\Roaming\dotnetfx32.exe
2015-03-04 12:25 - 2014-10-14 11:28 - 01419264 ___RH () C:\Users\Default User\AppData\Roaming\dotnetfx32.exe
2015-03-02 11:26 - 2015-03-02 11:26 - 00000722 __RSH () C:\Users\Лена\ntuser.pol
2015-02-27 07:31 - 2015-04-25 20:05 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\11318128
2015-02-17 07:37 - 2015-02-17 07:37 - 03072054 _____ () C:\Users\Лена\AppData\Roaming\314E5C7E314E5C7E.bmp
2015-02-16 22:32 - 2015-03-05 19:50 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-02-16 22:32 - 2015-03-05 19:50 - 00000000 __SHD () C:\ProgramData\Windows
2015-04-25 20:06 - 2013-11-24 10:03 - 00000000 __SHD () C:\Users\Лена\AppData\Roaming\dsiswjtj
2014-02-10 16:30 - 2014-02-10 16:30 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-02-17 07:37 - 2015-02-17 07:37 - 3072054 _____ () C:\Users\Лена\AppData\Roaming\314E5C7E314E5C7E.bmp
2015-03-05 07:35 - 2015-03-05 07:35 - 0013832 _____ () C:\Users\Лена\AppData\Roaming\38c04b86236ab02.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 0013832 _____ () C:\Users\Лена\AppData\Roaming\3da046029984bfa.xml
2015-03-05 13:51 - 2015-03-05 13:51 - 0334848 _____ (Igor Pavlov) C:\Users\Лена\AppData\Roaming\7z.dll
2015-03-05 07:35 - 2015-03-05 07:35 - 0013832 _____ () C:\Users\Лена\AppData\Roaming\80a04047ef55c4d.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 0013832 _____ () C:\Users\Лена\AppData\Roaming\92007b47dda0fd7.xml
2013-11-24 10:03 - 2013-11-24 10:03 - 0039424 _____ () C:\Users\Лена\AppData\Roaming\focus.3ds
2015-03-05 07:35 - 2015-03-05 18:34 - 0000624 _____ () C:\Users\Лена\AppData\Roaming\focus.tga
2015-03-05 13:51 - 2015-03-05 13:51 - 0684032 _____ (The OpenSSL Project, http://www.openssl.org/) C:\Users\Лена\AppData\Roaming\libeay32.dll
2015-03-05 13:51 - 2015-03-05 13:51 - 0150528 _____ (The OpenSSL Project, http://www.openssl.org/) C:\Users\Лена\AppData\Roaming\ssleay32.dll
2014-04-04 20:52 - 2014-09-10 18:39 - 0000826 _____ () C:\Users\Лена\AppData\Roaming\tlauncher.rmo.cfg
2015-03-08 14:33 - 2015-03-09 09:50 - 0000000 ____H () C:\Users\Лена\AppData\Roaming\winmgr.txt
Task: {9188F79A-B6C7-47CC-972D-9C9DC5206D8C} - \Kinoroom Browser No Task File <==== ATTENTION
Task: {E48442BE-845A-46C9-98B8-5357EDEF6F24} - \kbrowser-updater-utility No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B
FirewallRules: [{06E53A54-390B-4CC7-8AB9-1D6ED8771A85}] => (Allow) c:\users\Лена\appdata\roaming\11318128\svchost.exe
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-5050260385902846570206876\winmgr.exe] => Enabled:Microsoft Windows Manager
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-254056840394860302040\winsvc.exe] => Enabled:Microsoft Windows Service
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-50502603857602846570206876\winmgr.exe] => Enabled:Microsoft Windows Manager
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-5050260385760560206876\winmgr.exe] => Enabled:Microsoft Windows Manager
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-254056840394860245302040\winsvc.exe] => Enabled:Microsoft Windows Services
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Опубликовано
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
FF Extension: No Name -  C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha1565\ff [Not Found]
FF Extension: No Name -  C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home808\ff [Not Found]
FF Extension: No Name -  C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode2873\ff [Not Found]
FF Extension: No Name -  C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found]
FF Extension: No Name - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\helper@helper [Not Found]
FF Extension: No Name - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [Not Found]
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home808.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home808\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release76.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release76\ff
2015-03-03 07:20 - 2015-03-03 07:20 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\CryptoDB
2015-03-02 11:27 - 2015-03-05 07:44 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\LiteDB
Reboot:



  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • рарук
      Автор рарук
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      FD1FACE47FA84A930EB6|0
      на электронный адрес post8881@gmail.com или post24932@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      FD1FACE47FA84A930EB6|0
      to e-mail address post8881@gmail.com or post24932@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
    • tankopia
      Автор tankopia
      У сестры на компьютере файлы зашифровались  и на рабочем столе черный экран типа такого (вложение 111111) высылаю вам несколько закодрованных файлов и файл readmy
       
      текст файла readmy
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      F1F716AE701CE60103D6|0
      на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      F1F716AE701CE60103D6|0
      to e-mail address decodefile001@gmail.com or decodefile002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
      Помогите пожалуйста, сделайте дескриптор. У сестры мног оважных документов пропало(((.
      Очень вас прошу.

      17-10-2015_22-42-28.zip
    • MonsterIsGood
      Автор MonsterIsGood
      Зашифрованы в основном фотографии и документы doc

      Kaspersky Virus Removal Tool Ничего не обнаружил

      Заранее спасибо!

      Логи:

      CollectionLog-2015.10.18-22.38.zip
    • Наталия Болясова
      Автор Наталия Болясова
      На компьютере зашифрованы все файлы. Около 50 Гб. Видео,фото,аудио. "Порядок оформления запроса о помощи" соблюден.
       
      Помогите,пожалуйста,спасти файлы!
    • виктория виктория
      Автор виктория виктория
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      1514D705323F4A305004|0
      на электронный адрес files100001@gmail.com или files100002@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      1514D705323F4A305004|0
      to e-mail address files100001@gmail.com or files100002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.                                                                                                                                                                                                                   ЧТО ДЕЛАТЬ?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы
×
×
  • Создать...