Ваши файлы были зашифрованы

[Mr.Agashkin]

 

 

Т.е. я правильно вас понял, что заражение у вас произошло 2 марта, а антивирус касперского вы установили 4 марта? 

 

нет, абсолютно неправильно) написал же, что после заражения ничего не делал кроме инструкций.

касперский, как показывает CCleaner, был установле 10.09.2014 

когда заражение произошло, если судить по датам создания файлов READMEx.txt и датам изменения зашифрованных файлов - 4 марта

[mike 1]

Понятно. Спасибо. 

[Mr.Agashkin]

 

 

и датам изменения зашифрованных файлов

 

хм...видимо я сам ответил на свой вопрос пару постами выше, про то как осуществляется блокировка - файл новый не создается и старый не удаляется. и восстановить файлы через восстановление удаленных файлов у меня не получится. верно?

про то как осуществляет шифровка* (опечатался) 

логи FRST прикладываю

 

PS файл карантина страненький, по моему. содержит только ini файлы, без самого .dta или как там. всё нормально? (см.скрин)

UPD новые логи автологгера

UPD2 угу. что то не так с карантином. ответ с лаборатории на втором скриншоте

Fixlog.txt

CollectionLog-2015.03.12-00.27.zip

[Roman_Five]

приложите лог MBAM

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

[fuchadzhi]

 

Mr.Agashkin есть продвижения? Тема очень горячая, рядом стоит ноут жены с такой же проблемой после вечерней перезагрузки.

 

[thyrex]

@fuchadzhi, создайте свою тему, а не встревайте в чужую

[Mr.Agashkin]

приложите лог MBAM

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

с найденной гадостью ничего ещё не делал

malware.txt

[Roman_Five]

отправьте в карантин всё найденное в MBA< (можете оставить утилиты для NERO)

новый лог приложите.

[Mr.Agashkin]

 

 

новый лог приложите

 

автологгера или МВА?

[Mr.Agashkin]

в МВА:

1. отправил всё в карантин
2. сделал новый скан - нашлось ещё несколько бяки
3. новый лог прикладываю
4. снова всё отправил в карантин

PS пролистнул лог...а там "Rootkits: Disabled" ... видимо забыл поставить галочку руткиты.. делай по новой

делаЮ по новой*

malware.txt

[thyrex]

Поместите в карантин МВАМ все найденное

[Mr.Agashkin]

проверил ещё раз, на этот раз с галочкой Руткиты. 

поместил всё в карантин

malware.txt

[Roman_Five]

Registry Data: 1
PUP.Optional.IStartSurf.A, HKU\S-1-5-21-3150508205-1287835431-101241144-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://www.istartsurf.com/?type=hppp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895, Good: (www.google.com), Bad: (http://www.istartsurf.com/?type=hppp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895),,[26839e84008ab2845ce06872d530d52b]

это удалите.

ждём новый лог.

[Mr.Agashkin]

 

 

ждём новый лог

 

новый лог МВАМ ?

 

 

 

это удалите

 

вручную через regedit ? сделал вручную - просто заменил эти istartsurf на гугл

UPD интересную ветку нашел в реестре)

ytbl.txt

[thyrex]

Осталась от шифровальщика. Никакой ценной информации не представляет