Вирус зашифровал все файлы

[Юрий90]

После перезагрузки компьютера сначала все картинки поменяли имена и разрешения, после очередной перезагрузки все файлы видео картинки и остальные файлы получили новые названия и разрешения, на рабочем столе появились множество текстовых файлов содержащих текст:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

1A8557CE265FF70D4B31|99|2|2

на электронный адрес decodefiles1@gmail.com или decodefiles@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

1A8557CE265FF70D4B31|99|2|2

to e-mail address decodefiles1@gmail.com or decodefiles@india.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

Хотелось бы вернуть все как было.

CollectionLog-2015.06.05-21.58.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','');
QuarantineFile('C:\Users\Юрий\appdata\roaming\uiuepy.exe','');
QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
QuarantineFile('c:\support\couponsupport.exe','');
QuarantineFile('C:\Program Files (x86)\ver7SpeeditUp\d9SpeeditUpU75.exe','');
QuarantineFile('C:\Users\Юрий\AppData\Local\17413\a26482.exe','');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}');
QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll','');
QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll','');
QuarantineFile('c:\progra~2\suppor~1\suppor~1.dll','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\Юрий\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
DeleteService('bd0001');
DeleteService('bd0002');
DeleteService('bd0004');
DeleteService('BDAntiExp');
DeleteService('BDEnhanceBoost');
DeleteService('BDFileDefend');
DeleteService('BDMNetMon');
DeleteService('BDMWrench_x64');
DeleteService('BdSandBox');
SetServiceStart('SPDRIVER_1361.0.0.0', 4);
DeleteService('SPDRIVER_1361.0.0.0');
SetServiceStart('SPBIUpdd', 4);
DeleteService('SPBIUpdd');
DeleteService('BDMRTP');
DeleteService('BDKVRTP');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
SetServiceStart('SPBIUpd', 4);
DeleteService('SPBIUpd');
QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1361.0.0.0\jsdrv.sys','');
QuarantineFile('c:\program files (x86)\winzipper\winzipersvc.exe','');
TerminateProcessByName('C:\Program Files\Common Files\ShopperPro\spbiu.exe');
QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe','');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe');
QuarantineFile('c:\program files (x86)\xtab\protectservice.exe','');
TerminateProcessByName('c:\program files (x86)\mbot_ru_62\mbot_ru_62.exe');
QuarantineFile('c:\program files (x86)\mbot_ru_62\mbot_ru_62.exe','');
DeleteFile('c:\program files (x86)\mbot_ru_62\mbot_ru_62.exe','32');
DeleteFile('c:\program files (x86)\xtab\protectservice.exe','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe','32');
DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1361.0.0.0\jsdrv.sys','32');
DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe','32');
DeleteFile('C:\Program Files (x86)\BaiduAn3.0\BaiduAn\3.0.0.3971\baiduAnSvc.exe','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDAntiExp.sys','32');
DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDFileDefend.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys','32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SPDriver');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','SPDriver');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','SPDriver');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mbot_ru_62');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\Юрий\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('c:\progra~2\suppor~1\suppor~1.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32');
DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
DeleteFile('C:\Users\Юрий\AppData\Local\17413\a26482.exe','32');
DeleteFile('C:\Program Files (x86)\ver7SpeeditUp\d9SpeeditUpU75.exe','32');
DeleteFile('c:\support\couponsupport.exe','32');
DeleteFile('C:\Windows\Tasks\YK.job','64');
DeleteFile('C:\Windows\Tasks\UIUEPY.job','64');
DeleteFile('C:\Windows\Tasks\SpeeditUp Update.job','64');
DeleteFile('C:\Windows\Tasks\couponsupport-S-649636217.job','64');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
DeleteFile('C:\Windows\system32\Tasks\couponsupport-S-649636217','64');
DeleteFile('C:\Windows\system32\Tasks\SpeeditUp Update','64');
DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Users\Юрий\appdata\roaming\uiuepy.exe','32');
DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
   
  
   
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Сделайте новые логи по правилам

[Юрий90]

[KLAN-2837335842]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

chrome.bat,
iexplore.bat
mbot_ru_62.exe,
protectwindowsmanager.exe,
winzipersvc.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

csrss.exe - Backdoor.Win32.Androm.hczl

Детектирование файла будет добавлено в следующее обновление.

jsdrv.sys,
ShopperPro.dll - not-a-virus:AdWare.Win32.Shopper.adw
protectservice.exe,
SupTab.dll - not-a-virus:AdWare.Win32.SubTab.e

Это файлы от рекламной системы. Детектирование файлов будет добавлено в    следующее обновление расширенного набора баз. Подробная информация о    расширенных базах: http://www.kaspersky.ru/extraavupdates

spbiu.exe,
spbiw.sys - not-a-virus:Downloader.NSIS.Agent.ri

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ru http://www.viruslist.ru"

ClearLNK-05.06.2015_22-56.log

[thyrex]

Весьма незаметная строка

 

 

Сделайте новые логи по правилам

[Юрий90]

Да я вроде прям по пунктам делал... что не правильно?

[thyrex]

Где новые логи после выполнения скрипта из сообщения №2?

[Юрий90]

новые логи после выполнения скрипта.

CollectionLog-2015.06.05-23.15.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Юрий90]

Какая вероятность восстановления файлов?

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\...\Run: [amigo] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&st=chrome&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&st=chrome&q=
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A
HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&st=chrome&q=
HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A
HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/
HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A
HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&st=chrome&q=
HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=85053&st=home&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816
HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&st=chrome&q=
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=85053&st=bs&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&q={searchTerms}
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=85053&st=bs&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&ts=1423246532&type=default&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&ts=1423246532&type=default&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&ts=1423246532&type=default&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&ts=1423246532&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> 617C1552C862134649E679ADDDE3E099 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO: No Name -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} ->  No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll [2015-01-07] (Goobzo Ltd.)
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6b1a3d368001f31e16f1957c5aa2945c&text= <==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A
FF NewTab: hxxp://www.delta-homes.com/newtab/?type=nt&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A
FF DefaultSearchEngine: delta-homes
FF SelectedSearchEngine: delta-homes
FF Homepage: hxxp://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A
FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\explugin\npBaiduSDDetectPlug.dll No File
FF SearchPlugin: C:\Users\Юрий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\Web Search.xml [2015-04-23]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\delta-homes.xml [2015-05-29]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml [2015-04-23]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\.xml [2015-04-21]
FF Extension: HD-Quality-v3 - C:\Users\Юрий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\0b105cbff1eb40b89bca7dae371d@7ead239035fb4613ab38ef.com [2014-09-21]
FF Extension: cosstminn - C:\Users\Юрий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\8xxaues@uoua-zg.edu [2014-11-15]
FF Extension: FProtected v14.11.14 - C:\Users\Юрий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\exnet@it-talk.net [2014-11-14]
CHR Extension: (No Name) - C:\Users\Юрий\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2014-11-14]
CHR Extension: (No Name) - C:\Users\Юрий\AppData\Local\Google\Chrome\User Data\Default\Extensions\ciagpekplgpbepdgggflgmahnjgiaced [2014-09-19]
CHR Extension: (No Name) - C:\Users\Юрий\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-09-18]
CHR Extension: (No Name) - C:\Users\Юрий\AppData\Local\Google\Chrome\User Data\Default\Extensions\mnanplinmmnjhobaliikmelmmjpoogkb [2014-09-21]
CHR Extension: (No Name) - C:\Users\Юрий\AppData\Local\Google\Chrome\User Data\Default\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-09-18]
OPR Extension: (FullProtected) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2014-11-14]
OPR Extension: (Переводчик для Chrome 2) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\ciagpekplgpbepdgggflgmahnjgiaced [2014-09-19]
OPR Extension: (CinemaLoad) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-09-18]
OPR Extension: (HD-Quality-v3) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\mnanplinmmnjhobaliikmelmmjpoogkb [2014-09-21]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-09-18]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe http://www.delta-homes.com/?type=sc&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-09-21] (globalUpdate) [File not signed] <==== ATTENTION
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-09-21] (globalUpdate) [File not signed] <==== ATTENTION
S2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-10-20] (Baidu)
2015-06-05 16:29 - 2015-06-05 16:29 - 06220854 _____ C:\Users\Юрий\AppData\Roaming\3162BDBA3162BDBA.bmp
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README9.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README8.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README7.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README6.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README5.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README4.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README3.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README2.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README10.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README1.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README9.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README8.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README7.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README6.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README5.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README4.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README3.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README2.txt
2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README10.txt
2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README9.txt
2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README8.txt
2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README7.txt
2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README6.txt
2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README5.txt
2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README4.txt
2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README3.txt
2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README2.txt
2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README10.txt
2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README1.txt
2015-06-04 17:06 - 2015-06-05 22:37 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-04 17:06 - 2015-06-05 22:37 - 00000000 __SHD C:\ProgramData\Windows
2015-06-05 22:56 - 2014-09-18 23:46 - 00000000 ____D C:\Users\Юрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
2015-06-05 21:35 - 2015-02-06 22:14 - 00000000 ____D C:\Users\Все пользователи\ShopperPro
2015-06-05 21:35 - 2015-02-06 22:14 - 00000000 ____D C:\ProgramData\ShopperPro
2015-06-05 21:32 - 2015-04-21 20:54 - 00000000 ____D C:\Users\Юрий\AppData\Roaming\TicnoTemp
2015-06-05 21:32 - 2014-09-21 01:09 - 00000000 ____D C:\Program Files (x86)\HD-Quality-v3
C:\ProgramData\help.bat
C:\Users\Все пользователи\help.bat
Task: {320E1748-54D7-4F8D-8571-23AF2FB70F75} - \chrome5 No Task File <==== ATTENTION

Task: {24053D4A-2EFF-453A-B410-E87DB07E4497} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-09-21] (globalUpdate) <==== ATTENTION

Task: {801789E4-458C-47FD-9E7F-E30EFE447B0A} - \chrome5_logon No Task File <==== ATTENTION

Task: {E9AF98E2-B9E9-4E9E-823C-833183E93DB0} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-09-21] (globalUpdate) <==== ATTENTION

Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[Юрий90]

fixlog

Fixlog.txt

[mike 1]

 

 

c:\quarantine.zip

 

Продублируйте отправку карантина мне на почту.

[Юрий90]

кто-нибудь хоть скажите что мне ждать? или уже можно сносить все и форматировать?

RE: [KLAN-2837335842]

Здравствуйте,

В присланном Вами файле обнаружено новое вредоносное программное обеспечение. 
Его детектирование будет включено в очередное обновление антивирусных баз. 
Благодарим за оказанную помощь.

mbot_ru_62.exe_    detected         not-a-virus:AdWare.Win32.Eorezo.mjn 

The following are already detected:

chrome.bat              detected         not-a-virus:AdWare.BAT.Clicker.af 
csrss.exe                 detected         Backdoor.Win32.Androm.hczl
iexplore.bat             detected         not-a-virus:AdWare.BAT.Clicker.af
jsdrv.sys                  detected         not-a-virus:AdWare.Win32.Shopper.adw
protectservice.exe        detected         not-a-virus:AdWare.Win32.SubTab.e
ShopperPro.dll         detected         not-a-virus:AdWare.Win32.Shopper.adw 
spbiu.exe                  detected         not-a-virus:Downloader.NSIS.Agent.ri 
spbiw.sys                  detected         not-a-virus:Downloader.NSIS.Agent.ri 
SupTab.dll                 detected         not-a-virus:AdWare.Win32.SubTab.e

[thyrex]

С расшифровкой не поможем. Форматирование не поможет расшифровать файлы.

 

Как вариант, http://virusinfo.info/showthread.php?t=156188(тему на Вирусинфо создавать не нужно)

[Юрий90]

Спасибо.....