все файлы зашифрованы (.xtbl)

[diver64]

Логи сделаны согласно инстркуции

Зараженный компьютер временно отключен от локальной сети и интернета

CollectionLog-2015.04.09-12.44.zip

[diver64]

Компьютер был проверен dr.Web Cureit
Лог и скрин экрана прилагаются
Вчера было похожее сообщение от spassvogel

Он писал о медиа файлах, а у меня в основном Word и Exel, но может скрипт AVZ подойдет?

 

 

 

cureit.log

[Roman_Five]

но может скрипт AVZ подойдет?

нет.

скрипты пишутся под конкретный PC

 

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\program files\mypc backup\backupstack.exe');
 SetServiceStart('BDAntiExp', 4);
 SetServiceStart('BDSafeBrowser', 4);
 SetServiceStart('bd0004', 4);
 QuarantineFile('C:\Users\Admin\appdata\roaming\searchindexer\moduleinno.exe','');
 QuarantineFile('D:\Music\NEW ROCKS\Tony Levin\Fugion\0D_ys6.rar.exe','');
 QuarantineFile('C:\Users\Admin\Desktop\spsetup.exe','');
 QuarantineFile('C:\Program Files\ExpressFiles\EFUpdater.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Yt3U4OoXFKAU4bsG.exe','');
 QuarantineFile('H:\click.exe','');
 QuarantineFile('C:\Windows\launch.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\temp874007086.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\RarSFX0\files\chk_ext.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('C:\Windows\system32\DRIVERS\CisUtMonitor.sys','');
 QuarantineFile('C:\PROGRA~1\INSTIT~1\CERTIF~1.3\ENDUSE~1\EUSHEL~1.DLL','');
 DeleteFileMask('c:\program files\mypc backup\','*', true, '');
 DeleteDirectory('c:\program files\mypc backup\',' ');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDAntiExp.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys','32');
 DeleteFileMask('C:\Program Files\Mobogenie\','*', true, '');
 DeleteDirectory('C:\Program Files\Mobogenie\', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe','32');
 DeleteFileMask('C:\ProgramData\WindowsMangerProtect\','*', true, '');
 DeleteDirectory('C:\ProgramData\WindowsMangerProtect\',' ');
 DeleteFileMask('C:\Users\Admin\AppData\Roaming\omiga-plus\','*', true, '');
 DeleteFileMask('C:\Users\Admin\AppData\Roaming\MailUpdate\','*', true, '');
 DeleteFileMask('C:\ProgramData\MailUpdate\','*', true, '');
 DeleteFileMask('C:\Program Files\eb40820c-8350-4360-8bd6-3c2c1b0b845f\','*', true, '');
 DeleteFileMask('C:\Program Files\globalUpdate\','*', true, '');
 DeleteFileMask('C:\Program Files\SavePass 1.1\','*', true, '');
 DeleteDirectory('C:\Users\Admin\AppData\Roaming\omiga-plus \',' ');
 DeleteDirectory('C:\Users\Admin\AppData\Roaming\MailUpdate\',' ');
 DeleteDirectory('C:\ProgramData\MailUpdate\',' ');
 DeleteDirectory('C:\Program Files\eb40820c-8350-4360-8bd6-3c2c1b0b845f\',' ');
 DeleteDirectory('C:\Program Files\globalUpdate\',' ');
 DeleteDirectory('C:\Program Files\SavePass 1.1\',' ');
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\RarSFX0\files\chk_ext.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\temp874007086.exe','32');
 DeleteFile('C:\Program Files\advPlugin\Toolbar32.dll','32');
 DeleteFile('C:\Windows\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-1.job','32');
 DeleteFile('C:\Windows\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-11.job','32');
 DeleteFile('C:\Windows\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-2.job','32');
 DeleteFile('C:\Windows\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-5.job','32');
 DeleteFile('C:\Windows\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-6.job','32');
 DeleteFile('C:\Windows\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-7.job','32');
 DeleteFile('C:\Windows\Tasks\helper_king_notification_service.job','32');
 DeleteFileMask('C:\Program Files\helper king\','*', true, '');
 DeleteDirectory('C:\Program Files\helper king\ ',' ');
 DeleteFile('C:\Windows\Tasks\helper_king_updating_service.job','32');
 DeleteFile('C:\Windows\Tasks\Yt3U4OoXFKAU4bsG.job','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Yt3U4OoXFKAU4bsG.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-1','32');
 DeleteFile('C:\Windows\system32\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-11','32');
 DeleteFile('C:\Windows\system32\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-2','32');
 DeleteFile('C:\Windows\system32\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-5','32');
 DeleteFile('C:\Windows\system32\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-6','32');
 DeleteFile('C:\Windows\system32\Tasks\8b06be47-aafa-461b-b8e6-747353d4ed62-7','32');
 DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','32');
 DeleteFile('C:\Windows\system32\Tasks\RegClean Pro','32');
 DeleteFile('C:\Windows\system32\Tasks\Vkmusicdownloader','32');
 DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\Vkmusicdownloader.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{FC57BCDE-5A82-4DA5-B313-D1A748468FF0}','32');
 DeleteFile('C:\Users\Admin\appdata\roaming\searchindexer\moduleinno.exe','32');
 DelBHO('7CE987D5-11B3-44FC-9C3D-03069360D462');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\System Security Application','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CrashReportChecker','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mvvsobqtok','command');
 DeleteService('BDAntiExp');
 DeleteService('BDSafeBrowser');
 DeleteService('bd0004');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

beginDeleteFile('Qurantine.zip','');ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422340813&from=obw&uid=ST500DM002-1BD142_Z2AEWBV5XXXXZ2AEWBV5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422340813&from=obw&uid=ST500DM002-1BD142_Z2AEWBV5XXXXZ2AEWBV5&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422340813&from=obw&uid=ST500DM002-1BD142_Z2AEWBV5XXXXZ2AEWBV5&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=unchie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422340813&from=obw&uid=ST500DM002-1BD142_Z2AEWBV5XXXXZ2AEWBV5
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422340813&from=obw&uid=ST500DM002-1BD142_Z2AEWBV5XXXXZ2AEWBV5&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422340813&from=obw&uid=ST500DM002-1BD142_Z2AEWBV5XXXXZ2AEWBV5&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=unchie
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll
O3 - Toolbar: Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartabhost.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{D60D9DEF-F02F-445B-A228-0FE08151AB92}: NameServer = 8.8.8.8,8.8.8.8,107.181.166.238,8.8.4.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{D60D9DEF-F02F-445B-A228-0FE08151AB92}: NameServer = 8.8.8.8,8.8.8.8,107.181.166.238,8.8.4.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{D60D9DEF-F02F-445B-A228-0FE08151AB92}: NameServer = 8.8.8.8,8.8.8.8,107.181.166.238,8.8.4.4
O18 - Protocol: base64 - (no CLSID) - (no file)
O18 - Protocol: chrome - (no CLSID) - (no file)
O18 - Protocol: prox - (no CLSID) - (no file)

 

Сделайте новые логи по правилам (только пункт 2).

 

+ логи FRST

 

 

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[diver64]

Письмо от Касперского

 

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  
bcqr00013.dat,
bcqr00014.dat,
bcqr00023.dat,
bcqr00024.dat,
EUSHEL~1.DLL,
launch.exe,
Yt3U4OoXFKAU4bsG.exe
Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.
bcqr00021.dat,
bcqr00022.dat,
CisUtMonitor.sys
Вредоносный код в файлах не обнаружен.
csrss.exe - Trojan.Win32.Fsysna.bqow
Детектирование файла будет добавлено в следующее обновление.
moduleinno.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.fqs
Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.
С уважением, Лаборатория Касперского

ClearLNK-10.04.2015_09-45.log

CollectionLog-2015.04.10-11.18.zip

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM\...\Run: [InstallUpdate] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-4070840762-623226459-1063847591-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-4070840762-623226459-1063847591-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422340813&from=obw&uid=ST500DM002-1BD142_Z2AEWBV5XXXXZ2AEWBV5&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422340813&from=obw&uid=ST500DM002-1BD142_Z2AEWBV5XXXXZ2AEWBV5&q={searchTerms}
SearchScopes: HKLM -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={0B87AE9A-5B08-11E2-9682-001731455D1E}
SearchScopes: HKLM -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=dsites1202&cd=2XzuyEtN2Y1L1QzutDtDtCyBtAtCyEyDyD0DtC0E0AtAyDtAtN0D0Tzu0CyBtCyCtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=851495878&ir=
SearchScopes: HKU\S-1-5-21-4070840762-623226459-1063847591-1000 -> yandex.ru-132609 URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={0B87AE9A-5B08-11E2-9682-001731455D1E}
SearchScopes: HKU\S-1-5-21-4070840762-623226459-1063847591-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.gigabase.ru/search?q={searchTerms}&clid=1
SearchScopes: HKU\S-1-5-21-4070840762-623226459-1063847591-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=122310&tt=gc_&babsrc=SP_ss&mntrId=CE66001731455D1E
SearchScopes: HKU\S-1-5-21-4070840762-623226459-1063847591-1000 -> {400099D5-0601-4488-BFA8-7F25051F8C57} URL = http://start.vhod.ru/s?q={searchTerms}
SearchScopes: HKU\S-1-5-21-4070840762-623226459-1063847591-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = http://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-4070840762-623226459-1063847591-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://mysearch.sweetpacks.com?src=6&q={searchTerms}&barid=&&st=23
Toolbar: HKU\.DEFAULT -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartabhost.dll No File
Toolbar: HKU\S-1-5-21-4070840762-623226459-1063847591-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-4070840762-623226459-1063847591-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-4070840762-623226459-1063847591-1000 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} -  No File
Toolbar: HKU\S-1-5-21-4070840762-623226459-1063847591-1000 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartabhost.dll No File
Handler: base64 - No CLSID Value -  []
Handler: chrome - No CLSID Value -  []
Handler: prox - No CLSID Value -  []
FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin: @kingsfot.com/npkws -> c:\program files\kingsoft\kingsoft antivirus\npkws.dll No File
FF Plugin: @real.com/nppl3260;version=6.0.12.69 -> C:\Program Files\Magic Video Converter\codec\real\browser\plugins\nppl3260.dll No File
FF Plugin: @real.com/nprpjplug;version=6.0.12.69 -> C:\Program Files\Magic Video Converter\codec\real\browser\plugins\nprpjplug.dll No File
FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File
FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File
FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 -> C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File
FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 -> C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File
FF Plugin HKU\S-1-5-21-4070840762-623226459-1063847591-1000: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\babylon.xml [2013-05-16]
FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\Mysearchdial.xml [2013-12-16]
FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\startvhodru.xml [2015-01-31]
FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\webalta-search.xml [2012-03-12]
FF Extension: MegaSmiles - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\likeemotes@world-life.org [2013-10-01]
FF Extension: Currency calc - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2015-01-31]
FF Extension: VK Downloader - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} [2015-01-31]
FF Extension: BonanzaDeals - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{f9d03c26-0575-497e-821d-f7956d23e0ca} [2013-12-16]
FF Extension: Vkmusicdownloader - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24782}.xpi [2015-01-31]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart", "hxxp://isearch.omiga-plus.com/?type=hp&ts=1422340813&from=obw&uid=ST500DM002-1BD142_Z2AEWBV5XXXXZ2AEWBV5"
CHR HKLM\...\Chrome\Extension: [habjogblacejkelcdihglckabkabddeo] - C:\ProgramData\wxDownload\habjogblacejkelcdihglckabkabddeo.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2015-01-31]
CHR HKLM\...\Chrome\Extension: [habjogblacejkelcdihglckabkabddeo] - C:\ProgramData\wxDownload\habjogblacejkelcdihglckabkabddeo.crx [Not Found]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pflphaooapbgpeakohlggbpidpppgdff [2015-03-27]
CHR HKLM\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Admin\AppData\Local\mysearchdial-speeddial.crx [2013-12-16]
CHR HKU\S-1-5-21-4070840762-623226459-1063847591-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKU\S-1-5-21-4070840762-623226459-1063847591-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Admin\AppData\Local\mysearchdial-speeddial.crx [2013-12-16]
OPR Extension: (SavePass 1.1) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\akaelkiagnbfcccfnmbimdbplecgbikh [2015-01-27]
OPR Extension: (Конвертер Валют) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\dkgpajbdcbgaciibdeknligdaofmegma [2015-01-31]
OPR Extension: (dolajcekhnohkpncmhgledbmndjpblei) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\dolajcekhnohkpncmhgledbmndjpblei [2015-04-04]
OPR Extension: (helper king) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\figgekmbbegjkbppenaagmmepdgfbdif [2015-04-04]
OPR Extension: (Загрузчик VK) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\fneleoohaagcejefkfmanhhdoboipapk [2015-01-31]
OPR Extension: (Поделиться ВКонтакте) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2015-01-31]
OPR Extension: (Vkmusicdownloader) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlgdemkdapolikbjimjajpmonpbpmipk [2015-01-31]
CHR Extension: (No Name) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlgdemkdapolikbjimjajpmonpbpmipk [2015-01-31]
2015-03-31 11:14 - 2015-03-31 11:14 - 00005655 _____ () C:\Users\Admin\AppData\Roaming\Yt3U4OoXFKAU4bsG
2015-03-28 13:49 - 2015-04-04 09:24 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\ppslog
2015-03-28 13:27 - 2015-03-28 13:27 - 00000000 __SHD () C:\KRECYCLE
2015-03-28 13:26 - 2015-03-28 13:45 - 00000000 ____D () C:\Users\Все пользователи\Kingsoft
2015-03-28 13:26 - 2015-03-28 13:45 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\Kingsoft
2015-03-28 13:26 - 2015-03-28 13:45 - 00000000 ____D () C:\ProgramData\Kingsoft
2015-03-28 13:26 - 2015-03-28 13:33 - 00000000 ____D () C:\Users\Admin\AppData\Local\Amigo
2015-03-28 13:25 - 2015-04-04 09:24 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\IQIYI Video
2015-03-28 13:25 - 2015-03-28 13:31 - 00000000 ____D () C:\Program Files\kingsoft
2015-03-28 13:25 - 2015-03-28 13:25 - 00000000 ____D () C:\Users\Public\QiYi
2015-04-09 10:51 - 2013-12-16 15:34 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\0D0S1L2Z1P1B
C:\ProgramData\help.bat
C:\Users\Все пользователи\help.bat
Task: {4EBE648F-7E4E-4A40-9361-BBB8AF42F1AF} - \Vkmusicdownloader No Task File <==== ATTENTION
Task: {53EEBA43-07A8-48A8-BC2F-FBE098372511} - \RegClean Pro No Task File <==== ATTENTION
Task: {7608F98C-68FF-4BDB-A56F-31229158A945} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: {7D6287E4-F371-498F-9367-99451B6F342D} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: {91EDA43E-6FFB-4516-B573-9FB7D2B022E9} - System32\Tasks\BonanzaDealsUpdate => C:\Program <==== ATTENTION
Task: {9622EC8C-8FB0-4507-AA88-B70AEE9BC55D} - \LaunchSignup No Task File <==== ATTENTION
Task: {BBF4B6A1-5378-43E8-A412-8F771D6F7808} - \{FC57BCDE-5A82-4DA5-B313-D1A748468FF0} No Task File <==== ATTENTION
Task: {BF26AB3C-8D66-4940-BB34-185304650A16} - System32\Tasks\Express FilesUpdate => C:\Program Files\ExpressFiles\EFUpdater.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[diver64]

Здравствуйте )
Хоть какая-то надежда есть?
 

[thyrex]

С расшифровкой не поможем.

Как вариант, http://virusinfo.info/showthread.php?t=156188 ( внимание: тему новую на Virusinfo создавать не нужно)

[diver64]

Здравствуйте )
Хоть какая-то надежда есть?
 

спасибо
очень жаль, что не получилось ((

Fixlog.txt

Fixlog.txt

[mike 1]

 

 

Хоть какая-то надежда есть?

Думаю никакой. Теперь я надеюсь вы понимаете, что на защите лучше не экономить?

 

 

==================== Security Center ========================

AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}