Юрий90 0 Опубликовано 5 июня, 2015 Share Опубликовано 5 июня, 2015 После перезагрузки компьютера сначала все картинки поменяли имена и разрешения, после очередной перезагрузки все файлы видео картинки и остальные файлы получили новые названия и разрешения, на рабочем столе появились множество текстовых файлов содержащих текст: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 1A8557CE265FF70D4B31|99|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 1A8557CE265FF70D4B31|99|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. Хотелось бы вернуть все как было. CollectionLog-2015.06.05-21.58.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 5 июня, 2015 Share Опубликовано 5 июня, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys',''); QuarantineFile('C:\Users\Юрий\appdata\roaming\uiuepy.exe',''); QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe',''); QuarantineFile('c:\support\couponsupport.exe',''); QuarantineFile('C:\Program Files (x86)\ver7SpeeditUp\d9SpeeditUpU75.exe',''); QuarantineFile('C:\Users\Юрий\AppData\Local\17413\a26482.exe',''); DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}'); DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}'); DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}'); QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll',''); QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll',''); QuarantineFile('c:\progra~2\suppor~1\suppor~1.dll',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\Юрий\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); DeleteService('bd0001'); DeleteService('bd0002'); DeleteService('bd0004'); DeleteService('BDAntiExp'); DeleteService('BDEnhanceBoost'); DeleteService('BDFileDefend'); DeleteService('BDMNetMon'); DeleteService('BDMWrench_x64'); DeleteService('BdSandBox'); SetServiceStart('SPDRIVER_1361.0.0.0', 4); DeleteService('SPDRIVER_1361.0.0.0'); SetServiceStart('SPBIUpdd', 4); DeleteService('SPBIUpdd'); DeleteService('BDMRTP'); DeleteService('BDKVRTP'); SetServiceStart('WindowsMangerProtect', 4); DeleteService('WindowsMangerProtect'); SetServiceStart('SPBIUpd', 4); DeleteService('SPBIUpd'); QuarantineFile('C:\Program Files (x86)\ShopperPro\JSDriver\1361.0.0.0\jsdrv.sys',''); QuarantineFile('c:\program files (x86)\winzipper\winzipersvc.exe',''); TerminateProcessByName('C:\Program Files\Common Files\ShopperPro\spbiu.exe'); QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe',''); TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe'); QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe',''); TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe'); QuarantineFile('c:\program files (x86)\xtab\protectservice.exe',''); TerminateProcessByName('c:\program files (x86)\mbot_ru_62\mbot_ru_62.exe'); QuarantineFile('c:\program files (x86)\mbot_ru_62\mbot_ru_62.exe',''); DeleteFile('c:\program files (x86)\mbot_ru_62\mbot_ru_62.exe','32'); DeleteFile('c:\program files (x86)\xtab\protectservice.exe','32'); DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32'); DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe','32'); DeleteFile('C:\Program Files (x86)\ShopperPro\JSDriver\1361.0.0.0\jsdrv.sys','32'); DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe','32'); DeleteFile('C:\Program Files (x86)\BaiduAn3.0\BaiduAn\3.0.0.3971\baiduAnSvc.exe','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDAntiExp.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDFileDefend.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys','32'); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SPDriver'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','SPDriver'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','SPDriver'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mbot_ru_62'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Юрий\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('c:\progra~2\suppor~1\suppor~1.dll','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMD'); DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32'); DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32'); DeleteFile('C:\Users\Юрий\AppData\Local\17413\a26482.exe','32'); DeleteFile('C:\Program Files (x86)\ver7SpeeditUp\d9SpeeditUpU75.exe','32'); DeleteFile('c:\support\couponsupport.exe','32'); DeleteFile('C:\Windows\Tasks\YK.job','64'); DeleteFile('C:\Windows\Tasks\UIUEPY.job','64'); DeleteFile('C:\Windows\Tasks\SpeeditUp Update.job','64'); DeleteFile('C:\Windows\Tasks\couponsupport-S-649636217.job','64'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64'); DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64'); DeleteFile('C:\Windows\system32\Tasks\chrome5','64'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64'); DeleteFile('C:\Windows\system32\Tasks\couponsupport-S-649636217','64'); DeleteFile('C:\Windows\system32\Tasks\SpeeditUp Update','64'); DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32'); DeleteFile('C:\Users\Юрий\appdata\roaming\uiuepy.exe','32'); DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам Цитата Ссылка на сообщение Поделиться на другие сайты
Юрий90 0 Опубликовано 5 июня, 2015 Автор Share Опубликовано 5 июня, 2015 [KLAN-2837335842] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. chrome.bat,iexplore.batmbot_ru_62.exe,protectwindowsmanager.exe,winzipersvc.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.csrss.exe - Backdoor.Win32.Androm.hczlДетектирование файла будет добавлено в следующее обновление.jsdrv.sys,ShopperPro.dll - not-a-virus:AdWare.Win32.Shopper.adwprotectservice.exe,SupTab.dll - not-a-virus:AdWare.Win32.SubTab.eЭто файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdatesspbiu.exe,spbiw.sys - not-a-virus:Downloader.NSIS.Agent.riЭто - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" ClearLNK-05.06.2015_22-56.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 5 июня, 2015 Share Опубликовано 5 июня, 2015 Весьма незаметная строка Сделайте новые логи по правилам Цитата Ссылка на сообщение Поделиться на другие сайты
Юрий90 0 Опубликовано 5 июня, 2015 Автор Share Опубликовано 5 июня, 2015 Да я вроде прям по пунктам делал... что не правильно? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 5 июня, 2015 Share Опубликовано 5 июня, 2015 Где новые логи после выполнения скрипта из сообщения №2? Цитата Ссылка на сообщение Поделиться на другие сайты
Юрий90 0 Опубликовано 5 июня, 2015 Автор Share Опубликовано 5 июня, 2015 новые логи после выполнения скрипта. CollectionLog-2015.06.05-23.15.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 5 июня, 2015 Share Опубликовано 5 июня, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Юрий90 0 Опубликовано 5 июня, 2015 Автор Share Опубликовано 5 июня, 2015 Какая вероятность восстановления файлов? Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 5 июня, 2015 Share Опубликовано 5 июня, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\...\Run: [amigo] => [X] GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&st=chrome&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&st=chrome&q= HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&st=chrome&q= HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/ HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&st=chrome&q= HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=85053&st=home&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816 HKU\S-1-5-21-3240869707-3389836733-2090619088-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&st=chrome&q= SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=85053&st=bs&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423246413&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&q={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=85053&st=bs&tid=29529&ver=6.7&ts=1411156800000.000000&tguid=85053-29529-1411237765948-1FD41082BA017758B045ECCA32105816&q={searchTerms} SearchScopes: HKU\.DEFAULT -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&ts=1423246532&type=default&q={searchTerms} SearchScopes: HKU\.DEFAULT -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&ts=1423246532&type=default&q={searchTerms} SearchScopes: HKU\.DEFAULT -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&ts=1423246532&type=default&q={searchTerms} SearchScopes: HKU\.DEFAULT -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A&ts=1423246532&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> 617C1552C862134649E679ADDDE3E099 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO: No Name -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -> No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll [2015-01-07] (Goobzo Ltd.) Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-3240869707-3389836733-2090619088-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6b1a3d368001f31e16f1957c5aa2945c&text= <==== ATTENTION StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A FF NewTab: hxxp://www.delta-homes.com/newtab/?type=nt&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A FF DefaultSearchEngine: delta-homes FF SelectedSearchEngine: delta-homes FF Homepage: hxxp://www.delta-homes.com/?type=hp&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\explugin\npBaiduSDDetectPlug.dll No File FF SearchPlugin: C:\Users\Юрий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\Web Search.xml [2015-04-23] FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\delta-homes.xml [2015-05-29] FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml [2015-04-23] FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\.xml [2015-04-21] FF Extension: HD-Quality-v3 - C:\Users\Юрий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\0b105cbff1eb40b89bca7dae371d@7ead239035fb4613ab38ef.com [2014-09-21] FF Extension: cosstminn - C:\Users\Юрий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\8xxaues@uoua-zg.edu [2014-11-15] FF Extension: FProtected v14.11.14 - C:\Users\Юрий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\exnet@it-talk.net [2014-11-14] CHR Extension: (No Name) - C:\Users\Юрий\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2014-11-14] CHR Extension: (No Name) - C:\Users\Юрий\AppData\Local\Google\Chrome\User Data\Default\Extensions\ciagpekplgpbepdgggflgmahnjgiaced [2014-09-19] CHR Extension: (No Name) - C:\Users\Юрий\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-09-18] CHR Extension: (No Name) - C:\Users\Юрий\AppData\Local\Google\Chrome\User Data\Default\Extensions\mnanplinmmnjhobaliikmelmmjpoogkb [2014-09-21] CHR Extension: (No Name) - C:\Users\Юрий\AppData\Local\Google\Chrome\User Data\Default\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-09-18] OPR Extension: (FullProtected) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2014-11-14] OPR Extension: (Переводчик для Chrome 2) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\ciagpekplgpbepdgggflgmahnjgiaced [2014-09-19] OPR Extension: (CinemaLoad) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-09-18] OPR Extension: (HD-Quality-v3) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\mnanplinmmnjhobaliikmelmmjpoogkb [2014-09-21] OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Юрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-09-18] StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe http://www.delta-homes.com/?type=sc&ts=1432869545&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05293&uid=ST1000DM003-9YN162_S1D89S2AXXXXS1D89S2A S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-09-21] (globalUpdate) [File not signed] <==== ATTENTION S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-09-21] (globalUpdate) [File not signed] <==== ATTENTION S2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-10-20] (Baidu) 2015-06-05 16:29 - 2015-06-05 16:29 - 06220854 _____ C:\Users\Юрий\AppData\Roaming\3162BDBA3162BDBA.bmp 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README9.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README8.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README7.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README6.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README5.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README4.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README3.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README2.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README10.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Юрий\Desktop\README1.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README9.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README8.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README7.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README6.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README5.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README4.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README3.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README2.txt 2015-06-05 16:29 - 2015-06-05 16:29 - 00000911 _____ C:\Users\Public\Desktop\README10.txt 2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README9.txt 2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README8.txt 2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README7.txt 2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README6.txt 2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README5.txt 2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README4.txt 2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README3.txt 2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README2.txt 2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README10.txt 2015-06-04 17:16 - 2015-06-04 17:16 - 00000911 _____ C:\README1.txt 2015-06-04 17:06 - 2015-06-05 22:37 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-06-04 17:06 - 2015-06-05 22:37 - 00000000 __SHD C:\ProgramData\Windows 2015-06-05 22:56 - 2014-09-18 23:46 - 00000000 ____D C:\Users\Юрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser 2015-06-05 21:35 - 2015-02-06 22:14 - 00000000 ____D C:\Users\Все пользователи\ShopperPro 2015-06-05 21:35 - 2015-02-06 22:14 - 00000000 ____D C:\ProgramData\ShopperPro 2015-06-05 21:32 - 2015-04-21 20:54 - 00000000 ____D C:\Users\Юрий\AppData\Roaming\TicnoTemp 2015-06-05 21:32 - 2014-09-21 01:09 - 00000000 ____D C:\Program Files (x86)\HD-Quality-v3 C:\ProgramData\help.bat C:\Users\Все пользователи\help.bat Task: {320E1748-54D7-4F8D-8571-23AF2FB70F75} - \chrome5 No Task File <==== ATTENTION Task: {24053D4A-2EFF-453A-B410-E87DB07E4497} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-09-21] (globalUpdate) <==== ATTENTION Task: {801789E4-458C-47FD-9E7F-E30EFE447B0A} - \chrome5_logon No Task File <==== ATTENTION Task: {E9AF98E2-B9E9-4E9E-823C-833183E93DB0} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-09-21] (globalUpdate) <==== ATTENTION Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Юрий90 0 Опубликовано 5 июня, 2015 Автор Share Опубликовано 5 июня, 2015 fixlog Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 июня, 2015 Share Опубликовано 5 июня, 2015 c:\quarantine.zip Продублируйте отправку карантина мне на почту. Цитата Ссылка на сообщение Поделиться на другие сайты
Юрий90 0 Опубликовано 6 июня, 2015 Автор Share Опубликовано 6 июня, 2015 кто-нибудь хоть скажите что мне ждать? или уже можно сносить все и форматировать? RE: [KLAN-2837335842] Здравствуйте,В присланном Вами файле обнаружено новое вредоносное программное обеспечение. Его детектирование будет включено в очередное обновление антивирусных баз. Благодарим за оказанную помощь.mbot_ru_62.exe_ detected not-a-virus:AdWare.Win32.Eorezo.mjn The following are already detected:chrome.bat detected not-a-virus:AdWare.BAT.Clicker.af csrss.exe detected Backdoor.Win32.Androm.hczliexplore.bat detected not-a-virus:AdWare.BAT.Clicker.afjsdrv.sys detected not-a-virus:AdWare.Win32.Shopper.adwprotectservice.exe detected not-a-virus:AdWare.Win32.SubTab.eShopperPro.dll detected not-a-virus:AdWare.Win32.Shopper.adw spbiu.exe detected not-a-virus:Downloader.NSIS.Agent.ri spbiw.sys detected not-a-virus:Downloader.NSIS.Agent.ri SupTab.dll detected not-a-virus:AdWare.Win32.SubTab.e Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 6 июня, 2015 Share Опубликовано 6 июня, 2015 С расшифровкой не поможем. Форматирование не поможет расшифровать файлы. Как вариант, http://virusinfo.info/showthread.php?t=156188(тему на Вирусинфо создавать не нужно) Цитата Ссылка на сообщение Поделиться на другие сайты
Юрий90 0 Опубликовано 6 июня, 2015 Автор Share Опубликовано 6 июня, 2015 Спасибо..... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.