Roy_Miller Опубликовано 5 июня, 2015 Share Опубликовано 5 июня, 2015 Всем привет часа 2 назад у меня зашифровались все файлы изображения,аудиозаписи,видеозаписи. Пробывал программу RectorDecryptor не помогло. Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 9089D14D015C5383A124|114|2|2 на электронный адрес decode0987@gmail.com или decode098@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 5 июня, 2015 Share Опубликовано 5 июня, 2015 Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roy_Miller Опубликовано 7 июня, 2015 Автор Share Опубликовано 7 июня, 2015 создаю тему второй раз на этот раз по правилам если нельзя создавать 2-ой раз извините зашифрованы файлы в формат .xtbl Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 9089D14D015C5383A124|114|2|2 на электронный адрес decode0987@gmail.com или decode098@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 9089D14D015C5383A124|114|2|2 to e-mail address decode0987@gmail.com or decode098@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. Сообщение от модератора Mark D. Pearlstone Темы объединены CollectionLog-2015.06.07-23.27.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 7 июня, 2015 Share Опубликовано 7 июня, 2015 AnySendBabylonObjectInstaller baidu version 1.9 desktopy Homepager Mobogenie удалите через Установку программ Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Лиза\appdata\roaming\digitalsites\updateproc\updatetask.exe',''); QuarantineFile('C:\Users\Лиза\appdata\roaming\aspackage\aspackage.exe',''); QuarantineFile('C:\Users\Лиза\appdata\local\microsoft\windows\toolbar.exe',''); QuarantineFile('C:\Users\Лиза\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll',''); QuarantineFile('C:\Windows\system32\wlanmgr.dll',''); QuarantineFile('C:\Windows\system32\kbdmai.dll',''); QuarantineFile('C:\Windows\system32\ir16_32.dll',''); QuarantineFile('C:\Windows\system32\d3dadapter.dll',''); QuarantineFile('C:\Users\72A9~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\72A9~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\72A9~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\Лиза\AppData\Local\431\Updater.exe',''); DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}'); QuarantineFile('C:\Users\Лиза\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll',''); QuarantineFile('C:\Users\Лиза\AppData\Roaming\Browsers\exe.resworb.bat',''); QuarantineFile('C:\Users\Лиза\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\Лиза\AppData\Roaming\Browsers\exe.emorhc.bat',''); QuarantineFile('C:\Users\Лиза\AppData\Roaming\10829\svchost.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile(',C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe',''); TerminateProcessByName('c:\program files (x86)\mobogenie\mgassist.exe'); TerminateProcessByName('c:\program files (x86)\mobogenie\daemonprocess.exe'); DeleteFile('c:\program files (x86)\mobogenie\daemonprocess.exe','32'); DeleteFile('c:\program files (x86)\mobogenie\mgassist.exe','32'); DeleteFile(',C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu','command'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); DeleteFile('C:\Users\Лиза\AppData\Roaming\10829\svchost.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update','command'); DeleteFile('C:\Users\Лиза\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\Лиза\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\Лиза\AppData\Roaming\Browsers\exe.resworb.bat','32'); DeleteFile('C:\Users\Лиза\AppData\Local\Amigo\Application\amigo.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command'); DeleteFile('C:\Users\Лиза\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll','32'); DeleteFile('C:\Users\Лиза\AppData\Local\431\Updater.exe','32'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64'); DeleteFile('C:\Windows\Tasks\Digital Sites.job','64'); DeleteFile('C:\Users\72A9~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\system32\Tasks\DealPly','64'); DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64'); DeleteFile('C:\Users\72A9~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\72A9~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\system32\Tasks\DSite','64'); DeleteFile('C:\Windows\system32\d3dadapter.dll','32'); DeleteFile('C:\Windows\system32\ir16_32.dll','32'); DeleteFile('C:\Windows\system32\kbdmai.dll','32'); DeleteFile('C:\Windows\system32\wlanmgr.dll','32'); DeleteFile('C:\Users\Лиза\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','32'); DeleteFile('C:\Users\Лиза\appdata\local\microsoft\windows\toolbar.exe','32'); DeleteFile('C:\Users\Лиза\appdata\roaming\aspackage\aspackage.exe','32'); DeleteFile('C:\Users\Лиза\appdata\roaming\digitalsites\updateproc\updatetask.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roy_Miller Опубликовано 7 июня, 2015 Автор Share Опубликовано 7 июня, 2015 [KLAN-2843763853] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. APIHelper.dll,npapihelper.dllВредоносный код в файлах не обнаружен.exe.emorhc.bat,exe.erolpxei.bat,exe.resworb.bat,toolbar.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.svchost.exe - Trojan.Win32.Llac.dtejДетектирование файла будет добавлено в следующее обновление.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Clear LNK Log файл закрепил Check_Browsers_LNK.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 7 июня, 2015 Share Опубликовано 7 июня, 2015 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Пропустили мимо глаз Сделайте новые логи по правилам Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roy_Miller Опубликовано 7 июня, 2015 Автор Share Опубликовано 7 июня, 2015 (изменено) Вот новый LOG от LNK загрузил нужный файл Новые логи Ожидаю ответа ClearLNK-08.06.2015_00-14.log Addition.txt FRST.txt Изменено 7 июня, 2015 пользователем Roy_Miller Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 8 июня, 2015 Share Опубликовано 8 июня, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION GroupPolicyUsers\S-1-5-21-497937438-663906541-2677428849-1003\User: Group Policy Restriction detected <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz HKU\S-1-5-21-497937438-663906541-2677428849-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz HKU\S-1-5-21-497937438-663906541-2677428849-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search HKU\S-1-5-21-497937438-663906541-2677428849-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search HKU\S-1-5-21-497937438-663906541-2677428849-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2233703 SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2233703 SearchScopes: HKU\S-1-5-21-497937438-663906541-2677428849-1000 -> {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=falco&s={searchTerms}&f=4 SearchScopes: HKU\S-1-5-21-497937438-663906541-2677428849-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.claro-search.com/?q={searchTerms}&affID=114171&tt=3112_5&babsrc=SP_iclro_cr&mntrId=7604380900000000000090fba6e056e0 SearchScopes: HKU\S-1-5-21-497937438-663906541-2677428849-1000 -> {C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3318522&octid=EB_ORIGINAL_CTID&ISID=M94FD4409-A785-4537-8563-8398B311B8C0&SearchSource=58&CUI=&UM=5&UP=SPCCFC9E7C-E60E-47 BHO: No Name -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -> No File BHO-x32: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File BHO-x32: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> No File Toolbar: HKLM - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - No Name - {23DD83B5-BDDC-49CE-B77B-514819C6D551} - No File Toolbar: HKLM-x32 - No Name - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No File Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-497937438-663906541-2677428849-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-497937438-663906541-2677428849-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-497937438-663906541-2677428849-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-497937438-663906541-2677428849-1000 -> No Name - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No File Toolbar: HKU\S-1-5-21-497937438-663906541-2677428849-1000 -> No Name - {09EC805C-CB2E-4D53-B0D3-A75A428B81C7} - No File Toolbar: HKU\S-1-5-21-497937438-663906541-2677428849-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Handler: rubar - {7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} - No File FF HKLM-x32\...\Firefox\Extensions: [xz123@ya456.com] - C:\Program Files (x86)\BetterSurf\ff FF HKLM-x32\...\Firefox\Extensions: [12x3q@3244516.com] - C:\Program Files (x86)\Better-Surf\ff FF HKLM-x32\...\Firefox\Extensions: [ext@bettersurfplus.com] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ff FF HKLM-x32\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha580.net] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha580\ff FF HKLM-x32\...\Firefox\Extensions: [ext@VideoPlayerV3beta875.net] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta875\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaPlayerV1alpha351.net] - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha351\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewerV1alpha1498.net] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1498\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha2472.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2472\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha8643.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha8643\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home2217.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home2217\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaBuzzV1mode1664.net] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode1664\ff FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release3218.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release3218\ff FF HKLM-x32\...\Firefox\Extensions: [ext@TrustMediaViewerV1alpha4523.net] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha4523\ff FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release3475.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release3475\ff FF Extension: No Name - C:\Users\Лиза\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [not found] FF Extension: No Name - C:\Users\Лиза\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{2A4702A6-63E6-46E4-BEF3-E2769B6774A0} [not found] CHR HKLM-x32\...\Chrome\Extension: [aagpakfggopmhpgjjjjkpblmpgnabcpb] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha8643\ch\MediaViewV1alpha8643.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [aefhgmnkhdhnegnaencmafbpamfbdpld] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta875\ch\VideoPlayerV3beta875.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [aeloecchjackpajfnfjdafdgjkgcjdbl] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode1664\ch\MediaBuzzV1mode1664.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [ckkkjdagonakjdnpljdhoagmomjmdmdb] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2472\ch\MediaViewV1alpha2472.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [dedmngkbaffkenlfdcbganndoghblmap] - C:\Program Files (x86)\BetterSurf\ch\Chrome.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [egccpfbdoncliijefbldiefiehahpjmp] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release3475\ch\RichMediaViewV1release3475.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [gjppcdghcggaedhlgmffdkmfhcnkidfo] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1498\ch\MediaViewerV1alpha1498.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [icmlaeflemplmjndnaapfdbbnpncnbda] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [mmifolfpllfdhilecpdpmemhelmanajl] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ch\BetterSurfPlus.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [njmeipblpaganlgmljmpipedkcggcdkf] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release3218\ch\RichMediaViewV1release3218.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [ompnnlcdhcdbmaekbloelehkmmmkjoan] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home2217\ch\MediaWatchV1home2217.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [poepladfmmcppnopgppobmgmdnhiamff] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha4523\ch\TrustMediaViewerV1alpha4523.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [poheodfamflhhhdcmjfeggbgigeefaco] - C:\Program Files (x86)\Better-Surf\ch\Chrome.crx [Not Found] OPR Extension: (CinemaLoad) - C:\Users\Лиза\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-07-31] OPR Extension: (APIHelper) - C:\Users\Лиза\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-02-17] OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Лиза\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-08-04] S2 d3dadapter; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 d3dadapter; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S2 ir16_32; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 ir16_32; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S2 kbdmai; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 kbdmai; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S2 wlanmgr; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 wlanmgr; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 639DE99E; \??\C:\Windows\TEMP\639DE99E.sys [X] S3 6A87B99A; \??\C:\Windows\TEMP\6A87B99A.sys [X] S3 7110CB1D; \??\C:\Windows\TEMP\7110CB1D.sys [X] S3 72443C90; \??\C:\Windows\TEMP\72443C90.sys [X] S3 72802C16; \??\C:\Windows\TEMP\72802C16.sys [X] S3 7322AC74; \??\C:\Windows\TEMP\7322AC74.sys [X] S3 75E3C8DF; \??\C:\Windows\TEMP\75E3C8DF.sys [X] S3 82420080; \??\C:\Windows\TEMP\82420080.sys [X] S3 8C4E028E; \??\C:\Windows\TEMP\8C4E028E.sys [X] 2015-06-05 18:39 - 2015-06-05 18:39 - 03888054 _____ C:\Users\Лиза\AppData\Roaming\A76D8DA7A76D8DA7.bmp 2012-01-04 21:01 - 2012-01-04 21:01 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\11AA.tmp 2011-11-20 19:16 - 2011-11-20 19:16 - 0000162 _____ () C:\Users\Лиза\AppData\Roaming\16BB.tmp 2011-11-20 19:16 - 2011-11-20 19:16 - 0000162 _____ () C:\Users\Лиза\AppData\Roaming\1CB5.tmp 2011-12-22 19:40 - 2011-12-22 19:40 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\234B.tmp 2011-12-13 20:45 - 2011-12-13 20:45 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\4920.tmp 2011-12-26 19:08 - 2011-12-26 19:08 - 0000000 _____ () C:\Users\Лиза\AppData\Roaming\4B06.tmp 2011-11-20 23:04 - 2011-11-20 23:04 - 0000162 _____ () C:\Users\Лиза\AppData\Roaming\53F3.tmp 2012-01-06 16:23 - 2012-01-06 16:23 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\5762.tmp 2011-11-20 23:04 - 2011-11-20 23:04 - 0000162 _____ () C:\Users\Лиза\AppData\Roaming\58B4.tmp 2012-01-06 16:23 - 2012-01-06 16:23 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\5D1D.tmp 2011-11-20 23:04 - 2011-11-20 23:04 - 0000162 _____ () C:\Users\Лиза\AppData\Roaming\5D86.tmp 2012-01-05 16:36 - 2012-01-05 16:36 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\5F7D.tmp 2011-12-21 16:45 - 2011-12-21 16:45 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\64E9.tmp 2012-01-05 16:36 - 2012-01-05 16:36 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\6577.tmp 2011-12-13 20:45 - 2011-12-13 20:45 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\714A.tmp 2012-01-04 18:38 - 2012-01-04 18:38 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\7AE1.tmp 2012-01-04 18:38 - 2012-01-04 18:38 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\8129.tmp 2011-12-22 19:40 - 2011-12-22 19:40 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\953.tmp 2015-06-05 18:39 - 2015-06-05 18:39 - 3888054 _____ () C:\Users\Лиза\AppData\Roaming\A76D8DA7A76D8DA7.bmp 2011-12-13 21:29 - 2011-12-13 21:29 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\A788.tmp 2011-12-06 13:15 - 2011-12-06 13:15 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\A802.tmp 2011-12-13 22:36 - 2011-12-13 22:36 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\AA4A.tmp 2012-01-04 17:56 - 2012-01-04 17:56 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\AA54.tmp 2013-03-26 00:34 - 2013-03-26 00:34 - 0009808 _____ () C:\Users\Лиза\AppData\Roaming\BabMaint.exe 2011-12-22 22:00 - 2011-12-22 22:00 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\C8C4.tmp 2012-01-11 14:01 - 2012-01-11 14:01 - 0000193 _____ () C:\Users\Лиза\AppData\Roaming\D74E.tmp 2011-11-20 22:54 - 2011-11-20 22:54 - 0000162 _____ () C:\Users\Лиза\AppData\Roaming\DA2E.tmp 2013-07-26 00:02 - 2013-07-23 02:55 - 0000118 _____ () C:\Users\Лиза\AppData\Roaming\dat.dat 2012-05-16 19:41 - 2012-05-16 19:41 - 0000230 _____ () C:\Users\Лиза\AppData\Roaming\del.bat 2011-11-20 22:54 - 2011-11-20 22:54 - 0000162 _____ () C:\Users\Лиза\AppData\Roaming\DF4E.tmp 2013-07-26 00:11 - 2014-06-06 11:56 - 0000085 _____ () C:\Users\Лиза\AppData\Roaming\die.bat 2011-11-20 22:54 - 2011-11-20 22:54 - 0000162 _____ () C:\Users\Лиза\AppData\Roaming\E528.tmp Task: {399D031F-2208-4746-BBA7-E8579101D85A} - \DealPly No Task File <==== ATTENTION Task: {45275B56-99CA-4BE9-BB6D-7E7211ED47C1} - \DSite No Task File <==== ATTENTION AlternateDataStreams: C:\Users\Все пользователи\Temp:0B9176C0 AlternateDataStreams: C:\Users\Все пользователи\Temp:10D14739 AlternateDataStreams: C:\Users\Все пользователи\Temp:4D066AD2 AlternateDataStreams: C:\Users\Все пользователи\Temp:5D7E5A8F AlternateDataStreams: C:\Users\Все пользователи\Temp:798A3728 AlternateDataStreams: C:\Users\Все пользователи\Temp:93DE1838 AlternateDataStreams: C:\Users\Все пользователи\Temp:93EB7685 AlternateDataStreams: C:\Users\Все пользователи\Temp:AB689DEA AlternateDataStreams: C:\Users\Все пользователи\Temp:ABE89FFE AlternateDataStreams: C:\Users\Все пользователи\Temp:BF14D50A AlternateDataStreams: C:\Users\Все пользователи\Temp:E1F04E8D AlternateDataStreams: C:\Users\Все пользователи\Temp:E36F5B57 AlternateDataStreams: C:\Users\Лиза\Application Data:NT AlternateDataStreams: C:\Users\Лиза\Local Settings:wa AlternateDataStreams: C:\Users\Лиза\AppData\Local:wa AlternateDataStreams: C:\Users\Лиза\AppData\Roaming:NT AlternateDataStreams: C:\Users\Лиза\AppData\Local\Application Data:wa Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roy_Miller Опубликовано 8 июня, 2015 Автор Share Опубликовано 8 июня, 2015 Вот файл FixlogЕсли в Fixlog все будет в порядке то все шифрующий вирус остановили и больше файлы не будут шифроватся. Так да? Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 9 июня, 2015 Share Опубликовано 9 июня, 2015 Шифровальщика мы удалили еще в сообщении №4 С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188(тему на Вирусинфо создавать не нужно) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти