Перейти к содержанию

Зашифрованные файлы (почта decode0987@gmail.com или decode098@gmail.com)

Xxxibit
 Share Подписчики 0

Рекомендуемые сообщения

Xxxibit

Xxxibit 0

Опубликовано
Опубликовано

Принесли ноутбук на ремонт, что с ним случилось до этого неизвестно. Собственно, главная проблема это расшифровка файлов. Все важные зашифрованные файлы имеют расширение *.xbtl

Удаление вирусов с помощью др веба и каспера не помогло.

CollectionLog-2015.06.09-22.11.zip

FRST.txt

Addition.txt

Зашифрованное фото.rar

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 473

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\123\appdata\local\smartweb\swhk.dll','');
QuarantineFile('C:\Users\123\appdata\local\smartweb\smartwebapp.exe','');
QuarantineFile('C:\Users\123\appdata\local\smartweb\__u.exe','');
QuarantineFile('C:\Program Files (x86)\yellow cabs\yellow_cabs_notification_service.exe','');
QuarantineFile('C:\Program Files (x86)\yellow cabs\yellow_cabs_updating_service.exe','');
QuarantineFile('C:\Program Files (x86)\quiz games\quiz_games_updating_service.exe','');
QuarantineFile('C:\Program Files (x86)\quiz games\quiz_games_notification_service.exe','');
QuarantineFile('C:\Users\123\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-7.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-6.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-5.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-4.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-11.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-10.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-1-6.exe','');
QuarantineFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-6.exe','');
QuarantineFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-7.exe','');
QuarantineFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-5.exe','');
QuarantineFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-4.exe','');
QuarantineFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-11.exe','');
QuarantineFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-10.exe','');
QuarantineFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-1-6.exe','');
DelBHO('{b608cc98-54de-4775-96c9-097de398500c}');
QuarantineFile('C:\Users\123\AppData\Local\PriceFountain\PriceFountainIE.dll','');
QuarantineFile('C:\Users\123\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\123\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\123\AppData\Roaming\Browsers\exe.arepo.bat','');
QuarantineFile('C:\Users\123\AppData\Local\SmartWeb\SmartWebHelper.exe','');
DeleteService('qrnfd_1_10_0_9');
DeleteService('qizoxeni');
DeleteService('gofikubi');
DeleteFile('C:\Users\123\AppData\Roaming\32444335-1424541053-5A31-4447-38EAA7DAD85D\jnshD08C.tmp','32');
DeleteFile('C:\Users\123\AppData\Roaming\32444335-1424541053-5A31-4447-38EAA7DAD85D\nsh9E5A.tmpfs','32');
DeleteFile('C:\WINDOWS\system32\drivers\qrnfd_1_10_0_9.sys','32');
DeleteFile('C:\Users\123\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Users\123\AppData\Roaming\Browsers\exe.arepo.bat','32');
DeleteFile('C:\Users\123\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\123\AppData\Roaming\Browsers\exe.resworb.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','emgpmrjxpt');
DeleteFile('C:\Users\123\AppData\Local\PriceFountain\PriceFountainIE.dll','32');
DeleteFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-1-6.exe','32');
DeleteFile('C:\WINDOWS\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-1-6.job','64');
DeleteFile('C:\WINDOWS\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-1-7.job','64');
DeleteFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-10.exe','32');
DeleteFile('C:\WINDOWS\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-10_user.job','64');
DeleteFile('C:\WINDOWS\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-11.job','64');
DeleteFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-11.exe','32');
DeleteFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-4.exe','32');
DeleteFile('C:\WINDOWS\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-4.job','64');
DeleteFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-5.exe','32');
DeleteFile('C:\WINDOWS\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-5.job','64');
DeleteFile('C:\WINDOWS\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-5_user.job','64');
DeleteFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-6.exe','32');
DeleteFile('C:\WINDOWS\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-6.job','64');
DeleteFile('C:\WINDOWS\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-7.job','64');
DeleteFile('C:\Program Files (x86)\The-Go-Photo-it-v11\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-7.exe','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\WINDOWS\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-1-6.job','64');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-1-6.exe','32');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-1-7.exe','32');
DeleteFile('C:\WINDOWS\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-1-7.job','64');
DeleteFile('C:\WINDOWS\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-10_user.job','64');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-10.exe','32');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-11.exe','32');
DeleteFile('C:\WINDOWS\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-11.job','64');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-4.exe','32');
DeleteFile('C:\WINDOWS\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-4.job','64');
DeleteFile('C:\WINDOWS\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-5.job','64');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-5.exe','32');
DeleteFile('C:\WINDOWS\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-5_user.job','64');
DeleteFile('C:\WINDOWS\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-6.job','64');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-6.exe','32');
DeleteFile('C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-7.exe','32');
DeleteFile('C:\WINDOWS\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-7.job','64');
DeleteFile('C:\WINDOWS\Tasks\Price Fountain.job','64');
DeleteFile('C:\Users\123\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Program Files (x86)\quiz games\quiz_games_notification_service.exe','32');
DeleteFile('C:\WINDOWS\Tasks\quiz_games_notification_service.job','64');
DeleteFile('C:\WINDOWS\Tasks\quiz_games_updating_service.job','64');
DeleteFile('C:\Program Files (x86)\quiz games\quiz_games_updating_service.exe','32');
DeleteFile('C:\WINDOWS\Tasks\yellow_cabs_notification_service.job','64');
DeleteFile('C:\WINDOWS\Tasks\yellow_cabs_updating_service.job','64');
DeleteFile('C:\Program Files (x86)\yellow cabs\yellow_cabs_updating_service.exe','32');
DeleteFile('C:\Program Files (x86)\yellow cabs\yellow_cabs_notification_service.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-1-6','64');
DeleteFile('C:\WINDOWS\system32\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-1-7','64');
DeleteFile('C:\WINDOWS\system32\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-10_user','64');
DeleteFile('C:\WINDOWS\system32\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-5','64');
DeleteFile('C:\WINDOWS\system32\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-5_user','64');
DeleteFile('C:\WINDOWS\system32\Tasks\38a11f59-fd1e-4447-b1ef-d80f3486ae2f-7','64');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\WINDOWS\system32\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-1-6','64');
DeleteFile('C:\WINDOWS\system32\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-10_user','64');
DeleteFile('C:\WINDOWS\system32\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-11','64');
DeleteFile('C:\WINDOWS\system32\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-5','64');
DeleteFile('C:\WINDOWS\system32\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-5_user','64');
DeleteFile('C:\WINDOWS\system32\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-7','64');
DeleteFile('C:\WINDOWS\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
DeleteFile('C:\WINDOWS\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Users\123\appdata\local\smartweb\__u.exe','32');
DeleteFile('C:\Users\123\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('C:\Users\123\appdata\local\smartweb\swhk.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам в обычном, а не безопасном режиме

Ссылка на сообщение
Поделиться на другие сайты
Xxxibit

Xxxibit 0

Опубликовано
  • Автор
Опубликовано

KLAN-2851009324

По поводу Check_Browsers_LNK.log, я так понимаю необходимо было перенести ярлык браузера на ClearLNK, если это так, то я так и сделал. Постольку поскольку мне неизвестно каким именно хозяин ноута пользовался браузером, то я отправляю несколько логов взятые с разных браузеров.
Остальные файлы тоже прикрепил(сделанные в обычном режиме).

Ответ.txt

ClearLNK-10.06.2015_00-12.log

ClearLNK-10.06.2015_00-13.log

ClearLNK-10.06.2015_00-14.log

Addition.txt

FRST.txt

CollectionLog-2015.06.10-00.24.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 473

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM-x32\...\Run: [gmsd_ru_139] => [X]
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1210742164-3959156618-1797575020-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&q={searchTerms}
HKU\S-1-5-21-1210742164-3959156618-1797575020-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1210742164-3959156618-1797575020-1001 -> 1FF7AEA4D743D46A62EF2DD4B2A27650 URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&ts=1424533331&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1210742164-3959156618-1797575020-1001 -> 49C65D2C3E0DA143B6BA3FC285E4FD3C URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&ts=1424533331&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1210742164-3959156618-1797575020-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?FORM=SK2MDF&PC=SK2M&q={searchTerms}&src=IE-SearchBox
SearchScopes: HKU\S-1-5-21-1210742164-3959156618-1797575020-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&ts=1424533331&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1210742164-3959156618-1797575020-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&ts=1424533331&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1210742164-3959156618-1797575020-1001 -> {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = http://www.mystart.com/results.php?gen=ms&pr=vmn&id=mystarttb&v=5_4&ent=ch_5108&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1210742164-3959156618-1797575020-1001 -> {A4400D55-402C-40F7-A527-F5986353129E} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&ts=1424533331&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1210742164-3959156618-1797575020-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX&ts=1424533331&type=default&q={searchTerms}
Toolbar: HKU\S-1-5-21-1210742164-3959156618-1797575020-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\mystartsearch.xml [2015-02-21]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\mystarttb.xml [2015-02-21]
FF Extension: yellow cabs - C:\Users\123\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\1ep0uVALK@gmail.com [2015-04-04]
FF Extension: SavePass 1.1 - C:\Users\123\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\389579c4-efa9-4d96-a1dd-3c86f7bd1a51@gmail.com [2015-02-22]
FF Extension: The-Go-Photo-it-v11 - C:\Users\123\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\EWBNO58637124@CLP39222015.com [2015-02-23]
FF Extension: quiz games - C:\Users\123\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\UjyFfzq@gmail.com [2015-04-04]
FF Extension: 0e10f3d707f64f1297b99b27e07139a5 - C:\Users\123\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{0e10f3d7-07f6-4f12-97b9-9b27e07139a5} [2015-02-27]
FF Extension: 15e67a59bd3d49ae90ddb3d3fd14c2ed - C:\Users\123\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{15e67a59-bd3d-49ae-90dd-b3d3fd14c2ed} [2015-04-20]
FF Extension: 19503e42ca3c4c27b1e29cdb2170ee34 - C:\Users\123\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} [2015-02-26]
FF Extension: d62bb6fa719247fdb640ad8855c444f3 - C:\Users\123\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{d62bb6fa-7192-47fd-b640-ad8855c444f3} [2015-04-22]
FF Extension: PriceFountain - C:\Users\123\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{b6a94784-0ffb-4121-88c6-435139067ee2}.xpi [2015-02-23]
FF Extension: PriceFountain - C:\Users\123\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\staged\{b6a94784-0ffb-4121-88c6-435139067ee2}.xpi [2015-02-22]
CHR HKU\S-1-5-21-1210742164-3959156618-1797575020-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR Extension: (No Name) - C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnkgjopofhfmjebcalbjlcfilnipmopd [2015-04-04]
CHR Extension: (No Name) - C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\dciflieigdmogpmamcgbigingaodhnil [2015-04-09]
CHR Extension: (No Name) - C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2015-02-21]
CHR Extension: (No Name) - C:\Users\123\AppData\Local\Google\Chrome\User Data\Default\Extensions\oojbgadfejifecebmdnhhkbhdjaphole [2015-04-04]
CHR HKLM-x32\...\Chrome\Extension: [dghncoeocefmhkhiphdgikkamjeglbfh] - C:\Program Files (x86)\mystarttb\chrome-newtab-search.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\123\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found]
OPR Extension: (SavePass v2.2) - C:\Users\123\AppData\Roaming\Opera Software\Opera Stable\Extensions\akaelkiagnbfcccfnmbimdbplecgbikh [2015-03-08]
OPR Extension: (cfhdojbkjhnklbpkdaibdccddilifddb) - C:\Users\123\AppData\Roaming\Opera Software\Opera Stable\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2015-04-09]
OPR Extension: (dciflieigdmogpmamcgbigingaodhnil) - C:\Users\123\AppData\Roaming\Opera Software\Opera Stable\Extensions\dciflieigdmogpmamcgbigingaodhnil [2015-04-09]
OPR Extension: (yellow cabs) - C:\Users\123\AppData\Roaming\Opera Software\Opera Stable\Extensions\dfhphepmmghimompopllneamgdbelkdd [2015-04-04]
OPR Extension: (gnkgjopofhfmjebcalbjlcfilnipmopd) - C:\Users\123\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnkgjopofhfmjebcalbjlcfilnipmopd [2015-04-04]
OPR Extension: (The-Go-Photo-it-v11) - C:\Users\123\AppData\Roaming\Opera Software\Opera Stable\Extensions\ieejjmmgeihokfnlipbofpgnajfkdbbo [2015-03-09]
OPR Extension: (oojbgadfejifecebmdnhhkbhdjaphole) - C:\Users\123\AppData\Roaming\Opera Software\Opera Stable\Extensions\oojbgadfejifecebmdnhhkbhdjaphole [2015-04-04]
OPR Extension: (quiz games) - C:\Users\123\AppData\Roaming\Opera Software\Opera Stable\Extensions\pjpbfdjmmlnelgbkffopkgpggeeaildc [2015-04-04]
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.mystartsearch.com/?type=sc&ts=1424533276&from=cmi&uid=HitachiXHTS543232A7A384_E2P342BL15PHRP15PHRPX
2015-05-22 22:20 - 2015-05-22 22:20 - 03148854 _____ C:\Users\123\AppData\Roaming\91426B6891426B68.bmp
2015-05-22 22:20 - 2015-05-22 22:20 - 00000893 _____ C:\Users\123\Desktop\README7.txt
2015-05-22 22:20 - 2015-05-22 22:20 - 00000893 _____ C:\Users\123\Desktop\README6.txt
2015-06-10 00:19 - 2015-02-22 11:10 - 00000900 _____ C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job
2015-06-10 00:19 - 2015-02-22 11:10 - 00000896 _____ C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job
2015-06-09 23:49 - 2015-02-23 00:14 - 00000000 ____D C:\Program Files (x86)\The-Go-Photo-it-v11
2015-06-09 23:49 - 2015-02-22 11:12 - 00000000 ____D C:\Program Files (x86)\SavePass 1.1
2015-05-24 17:50 - 2015-04-04 12:19 - 00000000 ____D C:\Program Files (x86)\yellow cabs
2015-05-24 17:50 - 2015-02-21 17:49 - 00001452 ____S C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Еxрlоrеr.lnk
2015-05-24 17:50 - 2015-02-21 17:49 - 00001256 ____S C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оperа.lnk
2015-05-24 17:50 - 2015-02-21 17:49 - 00001245 ____S C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozilla Firefox.lnk
2015-05-24 17:45 - 2015-03-04 20:28 - 00000000 ____D C:\Program Files (x86)\IGS
2015-05-24 17:45 - 2015-03-04 20:27 - 00000000 ____D C:\Users\123\AppData\Local\32444335-1425500859-5A31-4447-38EAA7DAD85D
2015-05-24 17:45 - 2015-02-23 20:41 - 00000000 ____D C:\Users\123\AppData\Local\PriceFountain
2015-05-24 17:45 - 2015-02-21 18:42 - 00000000 ____D C:\Program Files (x86)\XTab
2015-05-24 17:45 - 2015-02-21 18:41 - 00000000 ____D C:\Users\Все пользователи\WindowsMangerProtect
2015-05-24 17:45 - 2015-02-21 18:41 - 00000000 ____D C:\ProgramData\WindowsMangerProtect
2015-05-24 17:45 - 2015-02-21 18:01 - 00000000 ____D C:\Users\123\AppData\Local\SmartWeb
2015-05-19 12:14 - 2015-03-04 20:28 - 00010624 _____ C:\WINDOWS\SysWOW64\BasementDuster.ini
2015-05-19 12:14 - 2015-03-04 20:28 - 00008528 _____ C:\WINDOWS\SysWOW64\BasementDusterOff.ini
2015-05-19 12:14 - 2015-03-04 20:28 - 00008528 _____ C:\WINDOWS\system32\BasementDusterOff.ini
2015-02-27 20:38 - 2015-02-27 20:37 - 0613067 _____ (CMI Limited) C:\Users\123\AppData\Local\nsbA324.tmp
2015-02-22 11:14 - 2015-02-22 11:13 - 0613057 _____ (CMI Limited) C:\Users\123\AppData\Local\nsbF53B.tmp
2015-02-22 17:20 - 2015-02-22 17:19 - 0613057 _____ (CMI Limited) C:\Users\123\AppData\Local\nseC518.tmp
2015-02-23 20:41 - 2015-02-23 20:41 - 0613057 _____ (CMI Limited) C:\Users\123\AppData\Local\nsg2625.tmp
2015-02-23 20:42 - 2015-02-23 20:42 - 0613057 _____ (CMI Limited) C:\Users\123\AppData\Local\nsg4ABC.tmp
2015-03-04 20:29 - 2015-03-04 20:29 - 0613067 _____ (CMI Limited) C:\Users\123\AppData\Local\nshC35D.tmp
2015-02-21 18:41 - 2015-02-21 18:41 - 0613057 _____ (CMI Limited) C:\Users\123\AppData\Local\nsy481C.tmp
2015-02-23 20:48 - 2015-02-23 20:48 - 0613057 _____ (CMI Limited) C:\Users\123\AppData\Local\nsy6A1A.tmp
2015-02-22 11:32 - 2015-02-22 11:32 - 0613057 _____ (CMI Limited) C:\Users\123\AppData\Local\nsz18A5.tmp
C:\Users\123\AppData\Local\Temp\3Zdq2u5rKRLd.exe
C:\Users\123\AppData\Local\Temp\HwZ4Zix0t8Pv.exe
Task: {00D8232F-20BF-480A-B70E-E473F60F4D2D} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
Task: {01098B2D-62CD-4474-9A51-E305A65B4280} - \d2dcce34-2388-4bd5-b123-b28454d5fb00-7 No Task File <==== ATTENTION
Task: {026ECB7C-434A-4316-963D-B3C334643EC3} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
Task: {02EDAA4F-7941-47AE-A364-123E236BD0F4} - \d2dcce34-2388-4bd5-b123-b28454d5fb00-5 No Task File <==== ATTENTION
Task: {117BD9B4-7014-4714-9333-73EB5DD8A665} - \globalUpdateUpdateTaskMachineCore No Task File <==== ATTENTION
Task: {26104A17-63E6-4644-906D-4EC005A9CB7D} - \38a11f59-fd1e-4447-b1ef-d80f3486ae2f-6 No Task File <==== ATTENTION
Task: {3F725E09-C639-4CF9-A06B-984600FA9E04} - \38a11f59-fd1e-4447-b1ef-d80f3486ae2f-5_user No Task File <==== ATTENTION
Task: {49639031-5DBD-4007-BF14-38BE321B4EE9} - \globalUpdateUpdateTaskMachineUA No Task File <==== ATTENTION
Task: {4CC32A03-5BAF-4FDD-B308-38956A18706E} - \quiz_games_notification_service No Task File <==== ATTENTION
Task: {4D7DD953-3D14-4617-9BF1-0E2BD1FBF477} - \38a11f59-fd1e-4447-b1ef-d80f3486ae2f-11 No Task File <==== ATTENTION
Task: {5590763D-5C54-4110-8D1F-FCE0F91C16E0} - \quiz_games_updating_service No Task File <==== ATTENTION
Task: {5A6F86C5-5E31-4A91-9052-A8D1FFD5CF0D} - \Price Fountain No Task File <==== ATTENTION
Task: {5CF8E0EF-62BD-4C6F-A123-4B65B8096F64} - \38a11f59-fd1e-4447-b1ef-d80f3486ae2f-7 No Task File <==== ATTENTION
Task: {6A2F2478-00A1-4C19-B3FD-552D21072F43} - \d2dcce34-2388-4bd5-b123-b28454d5fb00-10_user No Task File <==== ATTENTION
Task: {7BFB0A08-A023-4EE9-A2CD-66DEB7BD25B5} - \APSnotifierPP3 No Task File <==== ATTENTION
Task: {816DFFBB-7597-494D-B801-AD4097A692E2} - \d2dcce34-2388-4bd5-b123-b28454d5fb00-5_user No Task File <==== ATTENTION
Task: {8CA8D5BE-F84A-45D0-B4A2-E4584846E624} - \38a11f59-fd1e-4447-b1ef-d80f3486ae2f-1-6 No Task File <==== ATTENTION
Task: {9CB691F8-0984-457B-87AE-8A2D443CEB70} - \d2dcce34-2388-4bd5-b123-b28454d5fb00-1-6 No Task File <==== ATTENTION
Task: {A015B83E-A866-4E2F-BAE1-54D46EA4DF21} - \yellow_cabs_updating_service No Task File <==== ATTENTION
Task: {AE5D72B6-B093-4761-A123-2BF32D35FAE5} - \38a11f59-fd1e-4447-b1ef-d80f3486ae2f-10_user No Task File <==== ATTENTION
Task: {AEC84B6F-2121-41F1-AC15-1049A229FCD6} - System32\Tasks\d2dcce34-2388-4bd5-b123-b28454d5fb00-1-7 => C:\Program Files (x86)\SavePass 1.1\d2dcce34-2388-4bd5-b123-b28454d5fb00-1-7.exe <==== ATTENTION
Task: {AF4A7F5C-BCE0-45E1-85BE-0B891DD9138A} - \d2dcce34-2388-4bd5-b123-b28454d5fb00-4 No Task File <==== ATTENTION
Task: {B98E0BF0-8E67-4A50-874A-E536BF121AAD} - \38a11f59-fd1e-4447-b1ef-d80f3486ae2f-4 No Task File <==== ATTENTION
Task: {BE0F7B65-0FDB-4035-A6B2-5E2F652A9A56} - \d2dcce34-2388-4bd5-b123-b28454d5fb00-11 No Task File <==== ATTENTION
Task: {C5FE1882-0CB9-46C1-AA6D-4352EDA9ECD4} - \APSnotifierPP2 No Task File <==== ATTENTION
Task: {CC9E2DA1-EF0F-4220-BDD0-92637561877F} - \APSnotifierPP1 No Task File <==== ATTENTION
Task: {D0D3B635-597C-448B-BF73-EE58B6D8201A} - \d2dcce34-2388-4bd5-b123-b28454d5fb00-6 No Task File <==== ATTENTION
Task: {D8CF0C98-7522-4C4A-AEE5-9F29FC37EC0E} - System32\Tasks\DoctorPC_Start => C:\Program Files (x86)\Doctor PC\DoctorPC.exe <==== ATTENTION
Task: {DD16AE10-D224-4615-8882-8A144A1B9D73} - \38a11f59-fd1e-4447-b1ef-d80f3486ae2f-1-7 No Task File <==== ATTENTION
Task: {E2BEAC31-D24E-4340-9B07-C8B848A48855} - \38a11f59-fd1e-4447-b1ef-d80f3486ae2f-5 No Task File <==== ATTENTION
Task: {E7038AAD-2A9A-496C-AD73-702CC52E5661} - System32\Tasks\DoctorPC_Popup => C:\Program Files (x86)\Doctor PC\Splash.exe <==== ATTENTION
Task: {F224519A-EA2F-4DA0-AF0C-E77DE65C4616} - \yellow_cabs_notification_service No Task File <==== ATTENTION
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты
Xxxibit

Xxxibit 0

Опубликовано
  • Автор
Опубликовано

Никаких изменений не заметил.


После обновления ОС пропала надпись на рабочем столе "Ваши файлы зашифрованы  и тд"., однако больше никаких изменений я не вижу.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 473

Опубликовано
Опубликовано

Ах да, у Вас шифровальщик.

 

Рекламный мусор мы Вам почистили.

 

С расшифровкой не поможем.

 

Как вариант, http://virusinfo.info/showthread.php?t=156188 (тему на Вирусинфо создавать не нужно)

Ссылка на сообщение
Поделиться на другие сайты
Xxxibit

Xxxibit 0

Опубликовано
  • Автор
Опубликовано

Из соответствующих тем я так понимаю, что расшифровать файлы практически невозможно.Если смысл оставить эти файлы на некоторое время(месяцы, годы)? Может за этот период найдут метод расшифровки...

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • userkompa
      Ваши файлы были зашифрованы. decode0987@gmail.com или decode098@gmail.com
      От userkompa
      Здравствуйте!
      Знакомые поймали вирус. Соответственно, теперь почти все файлы с данными зашифрованы и имеют расширение .xtbl , на рабочем столе с десяток файлов ридми.тхт с содержимым:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      3419D46888A0DDCD9F05|107|2|2
      на электронный адрес decode0987@gmail.com или decode098@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
      по инструкции отсюда http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] сделал
      1) проверку Kaspersky Virus Removal Tool 2015; ,
      2) скачал и запустил автологгер.
       
      Можно ли расшифровать данные?
      Буду рад помощи.
      CollectionLog-2015.06.04-14.56.zip
    • pag1
      xtbl (decode0987@gmail.com или decode098@gmail.com)
      От pag1
      Доброго времени суток!
      У родственников компьютер подхватил заразу, выводит сообщение:
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 651943E36D3E72F0EB15|0 на электронный адрес decode0987@gmail.com или decode098@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Документы зашифровались, появились файлы с расширением xtbl. Просьба посодействовать для решения данной проблемы. CollectionLog-2015.06.03-20.21.zip
×
×
  • Создать...