Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

вирус decode00001@gmail.com

Silvarion
 Поделиться

Рекомендуемые сообщения

Silvarion

Silvarion

Опубликовано
Опубликовано
В один прекрасный день все медиа файлы прото за шифровались в формат XTBL после чего спустя неделю где-то, появились 10 файлов RADME с примерно таким содержанием:

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

FCB9A7744D3C5B864C03|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

FCB9A7744D3C5B864C03|0

to e-mail address decode00001@gmail.com or decode00002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

Заранее благодарю за решение моей и не только моей проблемы...

CollectionLog-2015.03.19-07.34.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Media Saver\s50q69rLfT.exe','');
QuarantineFile('C:\Users\A\AppData\Roaming\newSI_1799\s_inst.exe','');
QuarantineFile('C:\Users\A\AppData\Roaming\newSI_20107\s_inst.exe','');
QuarantineFile('C:\Users\A\AppData\Roaming\newSI_1\s_inst.exe','');
QuarantineFile('C:\Users\A\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Windows\system32\blastclnnn.exe','');
QuarantineFile('C:\Users\A\AppData\Local\SwvUpdater\Updater.exe','');
DelBHO('{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478}');
DelBHO('{82E1477C-B154-48D3-9891-33D83C26BCD3}');
DelBHO('{e641865d-49f3-4d39-b9ea-db1f85e536c6}');
DelBHO('{e3c37df6-4640-40a4-9d11-6a36ffa4d1ee}');
QuarantineFile('C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release599\ie\RichMediaViewV1release599.dll','');
QuarantineFile('C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode512\ie\MediaBuzzV1mode512.dll','');
DelBHO('{C1AF5FA5-852C-4C90-812E-A7F75E011D87}');
DelBHO('{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}');
QuarantineFile('C:\Program Files (x86)\Delta\delta\1.8.24.6\bh\delta.dll','');
QuarantineFile('C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll','');
DelBHO('{8271B5D6-76D3-4ABF-AEB3-1721161C76BC}');
DelBHO('{71111182-40d9-43c4-ad78-42f5b5884f34}');
QuarantineFile('C:\Program Files (x86)\Better-Surf\ie\BetterSrf.dll','');
QuarantineFile('C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home420\ie\MediaWatchV1home420.dll','');
DelBHO('{1D355335-BE86-4418-AC98-2436CC3D6D74}');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\A\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
QuarantineFile('C:\Windows\system32\drivers\nethfdrv.sys','');
DeleteService('nethfdrv');
SetServiceStart('MSLSService', 4);
DeleteService('MSLSService');
QuarantineFile('C:\Program Files (x86)\Media Saver\Toolbar32.dll','');
QuarantineFile('C:\Program Files (x86)\Media Saver\Interfaces32.dll','');
TerminateProcessByName('c:\program files (x86)\media saver\basement\mslsservice.exe');
QuarantineFile('c:\program files (x86)\media saver\basement\mslsservice.exe','');
TerminateProcessByName('c:\program files (x86)\media saver\basement\mslserver.exe');
QuarantineFile('c:\program files (x86)\media saver\basement\mslserver.exe','');
TerminateProcessByName('c:\program files (x86)\media saver\backgroundsingleton.exe');
QuarantineFile('c:\program files (x86)\media saver\backgroundsingleton.exe','');
DeleteFile('c:\program files (x86)\media saver\backgroundsingleton.exe','32');
DeleteFile('c:\program files (x86)\media saver\basement\mslserver.exe','32');
DeleteFile('c:\program files (x86)\media saver\basement\mslsservice.exe','32');
DeleteFile('C:\Program Files (x86)\Media Saver\Interfaces32.dll','32');
DeleteFile('C:\Program Files (x86)\Media Saver\Toolbar32.dll','32');
DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys','32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Users\A\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home420\ie\MediaWatchV1home420.dll','32');
DeleteFile('C:\Program Files (x86)\Better-Surf\ie\BetterSrf.dll','32');
DeleteFile('C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll','32');
DeleteFile('C:\Program Files (x86)\Delta\delta\1.8.24.6\bh\delta.dll','32');
DeleteFile('C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode512\ie\MediaBuzzV1mode512.dll','32');
DeleteFile('C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release599\ie\RichMediaViewV1release599.dll','32');
DeleteFile('res:\C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm','32');
DeleteFile('C:\Users\A\AppData\Local\SwvUpdater\Updater.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
DeleteFile('C:\Windows\system32\blastclnnn.exe','32');
DeleteFile('C:\Windows\Tasks\At1.job','64');
DeleteFile('C:\Windows\Tasks\At2.job','64');
DeleteFile('C:\Windows\Tasks\DigitalSite.job','64');
DeleteFile('C:\Users\A\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\A\AppData\Roaming\newSI_1\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_1.job','64');
DeleteFile('C:\Windows\Tasks\newSI_1799.job','64');
DeleteFile('C:\Windows\Tasks\newSI_20107.job','64');
DeleteFile('C:\Users\A\AppData\Roaming\newSI_20107\s_inst.exe','32');
DeleteFile('C:\Users\A\AppData\Roaming\newSI_1799\s_inst.exe','32');
DeleteFile('C:\Program Files (x86)\Media Saver\s50q69rLfT.exe','32');
DeleteFile('C:\Windows\Tasks\Update Service for Media Saver.job','64');
DeleteFile('C:\Windows\Tasks\Update Service for Media Saver2.job','64');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
DeleteFile('C:\Windows\system32\Tasks\At2','64');
DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_1','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_1799','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_20107','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for Media Saver','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for Media Saver2','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Silvarion

Silvarion

Опубликовано
  • Автор
Опубликовано

Мне прислали такое вот сообщение:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

avz00001.dta,
avz00008.dta - not-a-virus:WebToolbar.Win32.Agent.bhv

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

avz00005.dta,
avz00006.dta,
avz00007.dta,
deleted_attachment.txt,
deleted_attachment.txt

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.   Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

avz00001.dta,
avz00008.dta - not-a-virus:WebToolbar.Win32.Agent.bhv

New potentially risk software was found in these files. Detection will be included in the next update. Thank you for your help.

avz00005.dta,
avz00006.dta,
avz00007.dta,
deleted_attachment.txt,
deleted_attachment.txt

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

ClearLNK-19.03.2015_23-07.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicyUsers\S-1-5-21-3458532208-2313578631-1340621203-1001\User: Group Policy restriction detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3458532208-2313578631-1340621203-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3458532208-2313578631-1340621203-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=8475a4dd58b4ec2062cc963f43c04788&text={searchTerms}
HKU\S-1-5-21-3458532208-2313578631-1340621203-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=8475a4dd58b4ec2062cc963f43c04788&text={searchTerms}
HKU\S-1-5-21-3458532208-2313578631-1340621203-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2396973
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2396973
SearchScopes: HKU\S-1-5-21-3458532208-2313578631-1340621203-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=8475a4dd58b4ec2062cc963f43c04788&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3458532208-2313578631-1340621203-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=8475a4dd58b4ec2062cc963f43c04788&text=
SearchScopes: HKU\S-1-5-21-3458532208-2313578631-1340621203-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_def&mntrId=96C28C89A55BB49A&tsp=5002
SearchScopes: HKU\S-1-5-21-3458532208-2313578631-1340621203-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = http://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-3458532208-2313578631-1340621203-1000 -> {6E71E502-B218-4259-86C5-CED6E6306E6C} URL = http://www.baidu.com/baidu?cl=3&tn=firefoxcn_dg&word={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}
SearchScopes: HKU\S-1-5-21-3458532208-2313578631-1340621203-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2396973
BHO: Alawar Elements -> {E33FF41E-53CB-4D93-885A-FFEFA04CD804} -> C:\Program Files (x86)\Alawar Elements\ScriptHost64.dll No File
BHO-x32: BhoApp Class -> {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} -> C:\Program Files (x86)\Ticno\Tabs\TicnoTabsBho111217.dll [2011-12-17] ()
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-3458532208-2313578631-1340621203-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3458532208-2313578631-1340621203-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
Toolbar: HKU\S-1-5-21-3458532208-2313578631-1340621203-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-3458532208-2313578631-1340621203-1000 -> No Name - {8DEC4B69-27C4-405D-A37D-8D45C83F66AB} -  No File
FF Extension: Delta Toolbar - C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\ffxtlbr@delta.com [2013-09-11]
FF Extension: Screeny - C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{17238372-3743-33ab-8a9f-93722af74c79} [2013-11-08]
FF Extension: Media Saver - C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1D355335-BE86-4418-AC98-2436CC3D6D74} [2015-03-17]
FF HKLM-x32\...\Firefox\Extensions: [ocr@babylon.com] - C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\ocr@babylon.com
FF HKLM-x32\...\Firefox\Extensions: [12x3q4@3244516.com] - C:\Program Files (x86)\Better-Surf\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@bettersurfplus.com] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha656.net] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha656\ff
FF Extension: Webexp Enhanced - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha656\ff [2013-12-20]
FF HKLM-x32\...\Firefox\Extensions: [ext@VideoPlayerV3beta990.net] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta990\ff
FF Extension: Video Player - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta990\ff [2014-01-10]
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaPlayerV1alpha469.net] - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha469\ff
FF Extension: Media Player - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha469\ff [2014-01-29]
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewerV1alpha1931.net] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1931\ff
FF Extension: Media Viewer - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1931\ff [2014-02-25]
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha2704.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2704\ff
FF Extension: Media View - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2704\ff [2014-02-27]
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha8685.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha8685\ff
FF Extension: Media View - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha8685\ff [2014-03-15]
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home420.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home420\ff
FF Extension: Media Watch - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home420\ff [2014-03-23]
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaBuzzV1mode512.net] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode512\ff
FF Extension: Media Buzz - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode512\ff [2014-04-26]
FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release599.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release599\ff
FF Extension: Rich Media View - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release599\ff [2014-05-13]
FF Extension: No Name - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ff [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [ndpbkgnnodlbhimdbibacgooboafkkmc] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha656\ch\WebexpEnhancedV1alpha656.crx [2013-12-19]
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\A\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [2013-08-18]
CHR HKLM-x32\...\Chrome\Extension: [oklffoincecifapfmpafjcldkgjdgogk] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release599\ch\RichMediaViewV1release599.crx [2014-05-13]
CHR HKLM-x32\...\Chrome\Extension: [poheodfamflhhhdcmjfeggbgigeefaco] - C:\Program Files (x86)\Better-Surf\ch\Chrome.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [mmifolfpllfdhilecpdpmemhelmanajl] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ch\BetterSurfPlus.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [gimfjnnmlfkaicbjikdenhabcdaogang] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home420\ch\MediaWatchV1home420.crx [2014-03-20]
CHR HKLM-x32\...\Chrome\Extension: [hfaldagjogkfogjcbmibodkdajdnledg] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2704\ch\MediaViewV1alpha2704.crx [2014-02-27]
CHR HKLM-x32\...\Chrome\Extension: [iaimhpklononapfjngelgdokckfjekfc] - C:\Program Files (x86)\Whilokii\iaimhpklononapfjngelgdokckfjekfc.crx [2013-10-05]
CHR HKLM-x32\...\Chrome\Extension: [iflpnbflbglocmnfhndpeifoelkggahk] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha8685\ch\MediaViewV1alpha8685.crx [2014-02-27]
CHR HKLM-x32\...\Chrome\Extension: [ikloigadafpfgepigfclhbfehilnljkg] - C:\Users\A\AppData\Local\CRE\ikloigadafpfgepigfclhbfehilnljkg.crx [2012-09-21]
CHR HKLM-x32\...\Chrome\Extension: [jgnkkkokkojoomhehckdgjnkpbmkpbba] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1931\ch\MediaViewerV1alpha1931.crx [2014-02-23]
CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonChrome.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [dmnofabbpgglodldpilddimlbdimgdoi] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode512\ch\MediaBuzzV1mode512.crx [2014-04-23]
CHR HKLM-x32\...\Chrome\Extension: [eenjdnnmgmloemilajbgdnbfebegdcna] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta990\ch\VideoPlayerV3beta990.crx [2014-01-08]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-09-13]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmnofabbpgglodldpilddimlbdimgdoi [2014-06-24]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\eenjdnnmgmloemilajbgdnbfebegdcna [2014-01-14]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\gimfjnnmlfkaicbjikdenhabcdaogang [2015-02-05]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\hfaldagjogkfogjcbmibodkdajdnledg [2014-03-15]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\hhmfdibgakhagkpalkmfamkaojignmbm [2014-10-18]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\iaimhpklononapfjngelgdokckfjekfc [2014-12-20]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\iflpnbflbglocmnfhndpeifoelkggahk [2015-02-05]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\ikloigadafpfgepigfclhbfehilnljkg [2013-01-09]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\jgnkkkokkojoomhehckdgjnkpbmkpbba [2015-02-05]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndpbkgnnodlbhimdbibacgooboafkkmc [2013-12-31]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-11-09]
CHR Extension: (No Name) - C:\Users\A\AppData\Local\Google\Chrome\User Data\Default\Extensions\oklffoincecifapfmpafjcldkgjdgogk [2014-06-24]
CHR HKU\S-1-5-21-3458532208-2313578631-1340621203-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ikloigadafpfgepigfclhbfehilnljkg] - C:\Users\A\AppData\Local\CRE\ikloigadafpfgepigfclhbfehilnljkg.crx [2012-09-21]
2015-03-14 13:06 - 2015-03-22 16:13 - 00000000 ____D () C:\Program Files (x86)\Zaxar
2015-03-04 14:12 - 2015-03-04 22:53 - 00000000 ___HD () C:\Users\A\AppData\Roaming\F48AD377
2015-03-01 00:05 - 2015-03-01 00:05 - 00000150 ____H () C:\Users\A\AppData\Roaming\YandexDiskStarter.bat
2015-03-01 00:05 - 2015-03-01 00:05 - 00000150 ____H () C:\Users\A\AppData\Roaming\YandexDiskScreenshotEditor.bat
2015-03-01 00:05 - 2015-03-01 00:05 - 00000149 ____H () C:\Users\A\AppData\Local\chrome.bat
2015-03-01 00:05 - 2015-02-09 20:28 - 03740960 ____H () C:\Users\A\AppData\Roaming\YаndехDiskSсrееnshоtЕditоr.bаt.exe
2015-03-01 00:05 - 2015-02-09 20:28 - 00200992 ____H () C:\Users\A\AppData\Roaming\YаndехDiskStаrtеr.bаt.exe
2015-03-01 00:05 - 2015-01-14 08:47 - 00813744 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-03-01 00:04 - 2015-03-01 00:04 - 00000000 ____D () C:\Users\A\AppData\Roaming\ASPackage
2015-03-19 17:36 - 2014-10-18 21:23 - 00000000 ____D () C:\Program Files (x86)\Media Saver
2015-03-19 17:36 - 2014-07-07 15:50 - 00000000 ____D () C:\Users\A\AppData\Roaming\newSI_20107
2015-03-19 17:36 - 2014-07-07 15:50 - 00000000 ____D () C:\Users\A\AppData\Roaming\newSI_1799
2015-03-19 17:36 - 2014-07-07 15:50 - 00000000 ____D () C:\Users\A\AppData\Roaming\newSI_1
2015-03-18 21:58 - 2014-12-22 20:37 - 00000000 ____D () C:\Users\A\AppData\Roaming\Media Saver
2015-03-17 17:29 - 2013-11-08 20:41 - 00000000 ____D () C:\Program Files\Zaxar
2015-03-17 17:17 - 2013-11-08 20:32 - 00000000 ____D () C:\Users\A\AppData\Local\SwvUpdater
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Anton3456
      [РЕШЕНО] появился вирус
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • aleksey76
      Поймал шифровальщик с отсылкой на этот адрес Rdpdik6@gmail.com. Прошу помощи в расшифровке.
      Автор aleksey76
      архив.7z
    • lizachan
      Это вирус? (скрин)
      Автор lizachan
      Касперский несколько раз подряд находит эти вирусы и как я поняла не удаляет их почему-то. Смогла запустить этот антиварь только переименовав его. 
       
       

    • Artyom1990
      Подкинули шифровальщик, ни один антивирус его не находит. .[Rdpdik6@gmail.com].lockedfile
      Автор Artyom1990
      Здравствуйте, прошу помочь, подхватили шифровальщик, не могу ни удалить ни расшифровать файлы.
      .[Rdpdik6@gmail.com].lockedfile
      анкета сокращенная.pdf.[Rdpdik6@gmail.com]
      SearchReg.txt Addition.txt FRST.txt
      Это то что отправил вымогатель.
      #Read-for-recovery.txt
      Это то что отправил вымогатель.
×
×
  • Создать...