Внимание все важные файлы на всех дисках вашего компьютера были зашифрованы.

[Rumbel]

Ребят помогите,черный экран,красные буквы!

Внимание все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt,которые можно найти на любом из дисков.

Файлики прекрепленны.

README8.txt

CollectionLog-2015.05.19-22.58.zip

[Mie]

Обратитесь в раздел "Уничтожение вирусов", предварительно выполнив "Порядок оформления запроса о помощи"

[Roman_Five]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 ClearQuarantine;

 DeleteFile('C:\Users\Артём\AppData\Roaming\Browsers\exe.erolpxei.bat','32');

 DeleteFile('C:\Users\Артём\AppData\Roaming\Browsers\exe.emorhc.bat','32');

 DeleteFile('C:\Users\Артём\AppData\Local\MediaGet2\mediaget.exe','32');

 DeleteFile('c:\programdata\SetWallpaper.cmd','32');

 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');

 DeleteFile('C:\Users\Артём\AppData\Roaming\RYNX.exe','32');

 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');

 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');

 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');

 DeleteFile('C:\Windows\Tasks\RYNX.job','64');

 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');

 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');

 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');

 DeleteFile('C:\Users\Артём\AppData\Local\SmartWeb\SmartWebHelper.exe','32');

 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Search Protection','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Setwallpaper','command');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится. 

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=6edb1324f511b821a7babe117e49d92e&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=6edb1324f511b821a7babe117e49d92e&text=

O2 - BHO: Partner BHO Class - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - C:\ProgramData\Partner\Partner.dll

O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

>> Модифицированы префиксы протоколов

 

Сделайте новые логи по правилам (только пункт 2).

 

[Rumbel]

Файлы.

ClearLNK-20.05.2015_10-41.log

CollectionLog-2015.05.20-11.11.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Rumbel]

Файлы

Addition.txt

FRST.txt

[mike 1]

Ох, этот Аваст. После него как всегда куча мусора.

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CloseProcesses:
HKLM-x32\...\Run: [gmsd_ru_169] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1266181507-4194815712-3982269686-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1266181507-4194815712-3982269686-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=6edb1324f511b821a7babe117e49d92e&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1266181507-4194815712-3982269686-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=6edb1324f511b821a7babe117e49d92e&text=
SearchScopes: HKU\S-1-5-21-1266181507-4194815712-3982269686-1000 -> {AE918870-EB1F-4899-8402-A285FEB27F87} URL = http://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^RU&gct=&itbv=12.23.0.16&apn_uid=0B9F165E-0454-414C-A81A-0B2A0DD90010&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^RU&apn_dbr=ie&doi=2015-01-09&trgb=IE&q={searchTerms}&psv=&pt=tb
FF Extension: FullProtected v15.1.8 - C:\Users\Артём\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\exsoc@new-stream.lv [2015-01-11]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf [2015-01-10]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-12-29]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-12-29]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-12-29]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-12-29]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-12-29]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2015-02-08]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2014-12-29]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-17]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-17]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjocghlclkpgheifflemilcnblodjohg [2015-01-21]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-12-29]
CHR Extension: (No Name) - C:\Users\Артём\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-12-29]
CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - https://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1266181507-4194815712-3982269686-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
OPR Extension: (FullProtected) - C:\Users\Артём\AppData\Roaming\Opera Software\Opera Stable\Extensions\encaiiljifbdbjlphpgpiimidegddhic [2015-01-11]
2015-05-19 13:33 - 2015-05-19 15:21 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-05-19 13:33 - 2015-05-19 15:21 - 00000000 __SHD () C:\ProgramData\Windows
2015-05-19 14:15 - 2015-05-19 14:15 - 03148854 _____ () C:\Users\Артём\AppData\Roaming\1EE7A8D61EE7A8D6.bmp
2015-03-17 12:20 - 2015-03-17 12:20 - 00000000 ____H () C:\Windows\system32\Drivers\Msft_Kernel_webTinstMKTN_01009.Wdf
2015-03-17 12:17 - 2015-03-17 12:19 - 00008728 _____ () C:\Windows\SysWOW64\BasementDusterOff.ini
2015-03-17 12:17 - 2015-03-17 12:19 - 00008728 _____ () C:\Windows\system32\BasementDusterOff.ini
2015-03-17 12:16 - 2015-03-17 18:21 - 00000000 ____D () C:\Program Files (x86)\globalUpdate
2015-03-17 12:16 - 2015-03-17 12:16 - 00000000 ____D () C:\Users\Артём\AppData\Local\globalUpdate
2015-03-17 12:15 - 2015-03-17 12:29 - 00000000 ____D () C:\Users\Артём\AppData\Local\SmartWeb
2015-03-17 12:28 - 2015-03-17 12:28 - 00000000 ____D () C:\Program Files (x86)\predm
2015-03-17 12:21 - 2015-03-17 12:21 - 00000000 __SHD () C:\Users\Артём\AppData\Roaming\AnyProtectEx
2015-03-17 10:49 - 2015-03-17 10:49 - 00000008 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-03-17 10:49 - 2015-03-17 10:49 - 00000008 __RSH () C:\ProgramData\ntuser.pol
2015-03-17 10:36 - 2015-05-19 17:13 - 00000000 ____D () C:\Users\Артём\AppData\Local\00116BD6-1426588602-8017-FFFF-F46D04B589D8
2015-03-17 10:32 - 2015-05-19 17:13 - 00000000 ____D () C:\Users\Артём\AppData\Roaming\00116BD6-1426570342-8017-FFFF-F46D04B589D8
2015-03-17 10:30 - 2015-02-24 07:32 - 00815272 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-02-26 16:30 - 2015-01-02 14:40 - 00061660 ___RH () C:\Users\Default\AppData\Local\x86.exe
2015-02-26 16:30 - 2015-01-02 14:40 - 00061660 ___RH () C:\Users\Default User\AppData\Local\x86.exe
2015-01-08 15:56 - 2015-01-08 15:56 - 0000001 _____ () C:\Users\Артём\AppData\Roaming\smw_inst
C:\Users\Артём\AppData\Local\Temp\sender.exe
C:\Users\Артём\AppData\Local\Temp\Uninstall.exe
Task: {BC7FBED3-0C19-4441-8977-8AAE143F460D} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\fywojyju]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\globalUpdate]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\globalUpdatem]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Артём^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^x86.lnk]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Search Protection]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Setwallpaper]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[Rumbel]

Файлик

Fixlog.txt

[mike 1]

Я хочу проверить кое-что, но мне нужен удаленный доступ к компьютеру. Скачайте эту https://www.teamviewer.com/ru/ программу, запустите, затем в ЛС напишите id и пароль, которая сгенерировала программа.  

[Rumbel]

Иным способом нельзя?

Отправил 

[mike 1]

Ответил. Сегодня наверное до 22:00 буду. Завтра будет время только в первой половине дня.

[Rumbel]

Ответил. Сегодня наверное до 22:00 буду. Завтра будет время только в первой половине дня.

Отправил

[mike 1]

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

[Rumbel]

Файл

SecurityCheck.txt

[mike 1]

Обновите:

 

Adobe Flash Player 10 ActiveX v.10.0.42.34 Внимание! Скачать обновления

Adobe Flash Player 10 Plugin v.10.0.32.18 Внимание! Скачать обновления

 

На этом все.