Перейти к содержанию

все файлы зашифрованы

gans1
 Поделиться

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\system32\VCL.dll','');
QuarantineFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-7.exe','');
QuarantineFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-6.exe','');
QuarantineFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-5.exe','');
QuarantineFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-4.exe','');
QuarantineFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-11.exe','');
QuarantineFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-10.exe','');
QuarantineFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-1-7.exe','');
QuarantineFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-1-6.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.xoferif.bat','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\windows\system32\drivers\pfnfd_1_10_0_12.sys','');
DeleteService('pfnfd_1_10_0_12');
SetServiceStart('wolenory', 4);
DeleteService('wolenory');
QuarantineFile('c:\documents and settings\admin\local settings\application data\shop master\shop_master_helper_service.exe','');
TerminateProcessByName('c:\documents and settings\admin\application data\8f0bab20-1427824993-11d8-928d-0016363fe84b\jnsg8b.tmp');
QuarantineFile('c:\documents and settings\admin\application data\8f0bab20-1427824993-11d8-928d-0016363fe84b\jnsg8b.tmp','');
TerminateProcessByName('c:\program files\application assistance\apphelper.exe');
TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
QuarantineFile('c:\program files\application assistance\apphelper.exe','');
DeleteFile('c:\program files\application assistance\apphelper.exe','32');
DeleteFile('c:\documents and settings\admin\application data\acewebextension\updater\ace_web_extension.exe','32');
DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
DeleteFile('c:\documents and settings\admin\application data\8f0bab20-1427824993-11d8-928d-0016363fe84b\jnsg8b.tmp','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\AceWebExtension\updater\lib\win32com.shell.shell.pyd','32');
DeleteFile('C:\windows\system32\drivers\pfnfd_1_10_0_12.sys','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.xoferif.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AppHelper');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-1-6.exe','32');
DeleteFile('C:\windows\Tasks\bcbf3b82-6519-4c9a-8637-adf79e990eed-1-6.job','32');
DeleteFile('C:\windows\Tasks\bcbf3b82-6519-4c9a-8637-adf79e990eed-1-7.job','32');
DeleteFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-1-7.exe','32');
DeleteFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-10.exe','32');
DeleteFile('C:\windows\Tasks\bcbf3b82-6519-4c9a-8637-adf79e990eed-10_user.job','32');
DeleteFile('C:\windows\Tasks\bcbf3b82-6519-4c9a-8637-adf79e990eed-11.job','32');
DeleteFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-11.exe','32');
DeleteFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-4.exe','32');
DeleteFile('C:\windows\Tasks\bcbf3b82-6519-4c9a-8637-adf79e990eed-4.job','32');
DeleteFile('C:\windows\Tasks\bcbf3b82-6519-4c9a-8637-adf79e990eed-5.job','32');
DeleteFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-5.exe','32');
DeleteFile('C:\windows\Tasks\bcbf3b82-6519-4c9a-8637-adf79e990eed-6.job','32');
DeleteFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-6.exe','32');
DeleteFile('C:\Program Files\App Lid\bcbf3b82-6519-4c9a-8637-adf79e990eed-7.exe','32');
DeleteFile('C:\windows\Tasks\bcbf3b82-6519-4c9a-8637-adf79e990eed-7.job','32');
DeleteFile('C:\WINDOWS\system32\VCL.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\ksnetm\kisnetmxp.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
ExecuteREpair(15);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
gans1 Новичок

gans1

Опубликовано
  • Автор
Опубликовано

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

bcbf3b82-6519-4c9a-8637-adf79e990eed-6.exe - not-a-virus:WebToolbar.Win32.CrossRider.xcx
bcqr00029.dat,
bcqr00030.dat,
shop_master_helper_service.exe - not-a-virus:WebToolbar.Win32.CrossRider.anss

New potentially risk software was found in these files. Detection will be included in the next update. Thank you for your help.

exe.emorhc.bat,
exe.erolpxei.bat,
exe.resworb.bat,
exe.xoferif.bat

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

 

[KLAN-2884729541]


Отчет о работе ClearLNK-<Дата>.log

 

ClearLNK-19.06.2015_21-58.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
gans1 Новичок

gans1

Опубликовано
  • Автор
Опубликовано

не могу прикрепить файл FRST ошибка 403. если можно то я вставлю как текст.

 
Это не весь лог:

2015-04-22 19:11 - 2015-06-16 17:45 - 00011696 _____ C:\Documents and Settings\Admin\Мои документы\-o+CEB0QqkpzGjoPn3wIh4vz0PGzpYN1wsYy-R-H88o=.xtbl
2015-04-18 20:19 - 2015-06-12 17:03 - 00001809 _____ C:\Documents and Settings\All Users\Рабочий стол\Google Chrome.lnk
2015-04-18 20:18 - 2015-06-21 09:50 - 00000952 _____ C:\windows\Tasks\GoogleUpdateTaskMachineCore.job
2015-04-18 20:18 - 2015-06-21 02:28 - 00000956 _____ C:\windows\Tasks\GoogleUpdateTaskMachineUA.job
2015-04-18 19:53 - 2015-04-18 19:54 - 19382264 _____ C:\Documents and Settings\Admin\Мои документы\ChromeStandaloneSetup.exe
2015-04-16 22:15 - 2015-06-16 17:45 - 00039296 _____ C:\Documents and Settings\Admin\Мои документы\LMwtZfOVjQi6gBUXYTBiV8gvJhsMjJNXweGy02tJHwQMd32qYeMtvo3TTmL-tJWi.xtbl
2015-04-16 14:11 - 2015-04-16 14:11 - 00880208 _____ (Google Inc.) C:\Documents and Settings\Admin\Мои документы\ChromeSetup.exe
2015-04-16 13:33 - 2015-04-16 14:01 - 00065536 _____ C:\windows\system32\config\TuneUp.evt
2015-04-16 13:33 - 2015-04-16 13:33 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\TuneUp Software
2015-04-16 13:33 - 2015-04-16 13:33 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\TuneUp Software
2015-04-16 13:30 - 2015-04-16 13:33 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\TuneUp Software
2015-04-16 13:30 - 2015-04-16 13:30 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\{FE8D473A-6F06-4F99-B5F4-BED72B2A038C}
2015-04-16 13:27 - 2015-04-16 13:27 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\OpenCandy
2015-04-16 13:27 - 2015-04-16 13:27 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\{2F6E2848-46EA-41D0-85CA-ABBC43F7CCE4}
2015-04-15 19:32 - 2015-06-16 17:45 - 00047488 _____ C:\Documents and Settings\Admin\Мои документы\g2VXA8KonFQP192RfbEUq2Wg3Tu6GW0yNxbIOc++WqCeyZKOmIIlDIc+GhLJakSc.xtbl
2015-04-10 13:10 - 2015-04-10 13:10 - 00064048 _____ C:\Documents and Settings\Admin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2015-04-07 23:59 - 2015-04-07 23:59 - 00244720 _____ C:\windows\system32\FNTCACHE.DAT
2015-04-06 18:45 - 2015-06-16 17:45 - 00014208 _____ C:\Documents and Settings\Admin\Рабочий стол\pVleIrEBif0Ezg-FHiu9fm3pOdrTS7wxYNdnlm77Yt0-3JCBbs0OFIHXkRiFQ-ux.xtbl
2015-04-06 15:54 - 2015-04-06 15:54 - 00046280 _____ (Kaspersky Lab ZAO) C:\windows\system32\Drivers\kldisk.sys
2015-04-01 15:18 - 2015-06-12 15:32 - 00000004 _____ C:\windows\system32\029B560A371F4E00AB32838EBC01B9E7
2015-04-01 14:33 - 2015-06-16 17:46 - 00000448 _____ C:\3qbKxrKIMuIn8M9nQJ6FXg==.xtbl
2015-04-01 14:23 - 2015-04-01 14:23 - 00867240 _____ (Oracle Corporation) C:\windows\system32\npDeployJava1.dll
2015-04-01 14:23 - 2015-04-01 14:23 - 00789416 _____ (Oracle Corporation) C:\windows\system32\deployJava1.dll
2015-04-01 14:23 - 2015-04-01 14:23 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Sun
2015-04-01 14:20 - 2015-04-01 14:20 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\Sun
2015-04-01 14:19 - 2015-04-01 14:34 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\FilesFrog Update Checker
2015-04-01 14:18 - 2015-06-21 09:50 - 00000874 _____ C:\windows\Tasks\globalUpdateUpdateTaskMachineCore.job
2015-04-01 14:18 - 2015-06-21 02:23 - 00000878 _____ C:\windows\Tasks\globalUpdateUpdateTaskMachineUA.job
2015-04-01 14:18 - 2015-06-18 22:20 - 00000000 ____D C:\Program Files\App Lid
2015-04-01 14:18 - 2015-04-01 14:18 - 00000000 ____D C:\Program Files\globalUpdate
2015-04-01 14:18 - 2015-04-01 14:18 - 00000000 ____D C:\Program Files\beb05344-1ef1-4500-8ea2-2e58ee5c65eb
2015-04-01 14:18 - 2015-04-01 14:18 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\globalUpdate
2015-04-01 14:16 - 2015-04-01 14:16 - 00000000 ____D C:\Program Files\predm
2015-03-31 22:07 - 2015-03-31 22:07 - 00613255 _____ (CMI Limited) C:\Documents and Settings\Admin\Local Settings\Application Data\nse1B0.tmp
2015-03-31 22:07 - 2015-03-31 22:07 - 00000000 __SHD C:\Documents and Settings\Admin\Application Data\AnyProtectEx
2015-03-31 22:05 - 2015-03-31 22:05 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\mystartsearch
2015-03-31 22:04 - 2015-03-31 22:04 - 00008552 _____ C:\windows\system32\VCLOff.ini
2015-03-31 22:04 - 2015-03-31 22:04 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\VCL
2015-03-31 21:25 - 2015-06-21 09:51 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\TorchCrashHandler
2015-03-31 21:22 - 2015-04-01 14:16 - 00000000 ____D C:\Program Files\gmsd_re_188
2015-03-31 21:20 - 2015-06-16 17:46 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Torch
2015-03-31 21:20 - 2015-03-31 21:20 - 00000000 ____D C:\Program Files\Movies App
2015-03-31 21:20 - 2015-03-31 21:20 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Datamngr
2015-03-31 21:09 - 2015-06-18 21:34 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\8F0BAB20-1427836193-11D8-928D-0016363FE84B
2015-03-31 21:03 - 2015-06-20 21:31 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\8F0BAB20-1427824993-11D8-928D-0016363FE84B
2015-03-31 21:00 - 2015-03-31 21:00 - 00000000 ___HD C:\windows\system32\GroupPolicy
2015-03-31 20:59 - 2015-06-19 21:58 - 00000730 _____ C:\Documents and Settings\All Users\Главное меню\Программы\Мozillа Firefox.lnk
2015-03-31 20:59 - 2015-06-19 21:58 - 00000638 _____ C:\Documents and Settings\All Users\Рабочий стол\Opera.LNK
2015-03-31 20:59 - 2015-06-18 08:53 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\Browsers
2015-03-31 20:59 - 2015-03-31 20:59 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Temp
2015-03-31 20:59 - 2015-03-31 20:59 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\SPI
2015-03-26 18:52 - 2015-03-26 18:52 - 00001990 _____ C:\Documents and Settings\Admin\Рабочий стол\Ace Player.lnk
2015-03-26 18:52 - 2015-03-26 18:52 - 00000000 ____D C:\Documents and Settings\Admin\Главное меню\Программы\Ace Stream Media
2015-03-23 12:28 - 2015-06-18 20:36 - 00000000 ____D C:\Program Files\Mozilla Firefox
 
==================== Three Months Modified files and folders ========
 
(If an entry is included in the fixlist, the file/folder will be moved.)
 
2015-06-21 10:25 - 2015-02-20 16:51 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Temp
2015-06-21 09:50 - 2015-02-20 18:39 - 00000159 _____ C:\windows\wiadebug.log
2015-06-21 09:50 - 2015-02-20 18:39 - 00000050 _____ C:\windows\wiaservc.log
2015-06-21 09:50 - 2015-02-20 16:50 - 00000006 ____H C:\windows\Tasks\SA.DAT
2015-06-21 02:28 - 2015-02-20 16:50 - 00032436 _____ C:\windows\SchedLgU.Txt
2015-06-21 02:27 - 2015-02-20 16:51 - 00000000 ____D C:\Documents and Settings\Admin
2015-06-19 21:58 - 2015-03-09 00:15 - 00000000 ____D C:\Documents and Settings\Admin\Главное меню\Программы\Yandex
2015-06-19 21:58 - 2015-03-05 22:42 - 00000000 ____D C:\Documents and Settings\All Users\Главное меню\Программы\Google Chrome
2015-06-19 21:58 - 2015-02-20 18:36 - 00000000 ___RD C:\Documents and Settings\All Users\Главное меню\Программы
2015-06-19 21:58 - 2015-02-20 18:36 - 00000000 ____D C:\Documents and Settings\All Users\Рабочий стол
2015-06-19 21:58 - 2015-02-20 16:51 - 00000863 _____ C:\Documents and Settings\Admin\Главное меню\Программы\Internet Explorer.lnk
2015-06-19 21:58 - 2015-02-20 16:51 - 00000000 ___RD C:\Documents and Settings\Admin\Главное меню\Программы
2015-06-19 21:46 - 2015-02-20 16:51 - 00000000 ____D C:\Documents and Settings\Admin\Рабочий стол
2015-06-18 22:08 - 2015-03-04 22:27 - 00000000 ____D C:\Program Files\Application Assistance
2015-06-18 18:53 - 2015-02-24 17:19 - 00002511 _____ C:\Documents and Settings\Admin\Рабочий стол\Microsoft Office Excel 2003.lnk
2015-06-18 14:24 - 2015-02-26 19:35 - 00000000 ____D C:\Documents and Settings\Admin\Мои документы\Загрузки
2015-06-17 22:40 - 2015-02-20 16:45 - 00000000 ____D C:\windows\Microsoft.NET
2015-06-17 21:49 - 2015-02-20 18:36 - 00988270 _____ C:\windows\system32\PerfStringBackup.INI
2015-06-17 21:49 - 2013-05-04 21:18 - 00447472 _____ C:\windows\system32\perfh019.dat
2015-06-17 21:49 - 2013-05-04 21:18 - 00067944 _____ C:\windows\system32\perfc019.dat
2015-06-17 21:45 - 2015-02-24 17:16 - 00000000 ____D C:\Program Files\Microsoft.NET
2015-06-17 21:45 - 2015-02-20 18:34 - 00000000 ____D C:\windows\system32\mui
2015-06-17 20:44 - 2015-03-04 22:37 - 00196608 _____ C:\windows\system32\config\KAVEventLog.EVT
2015-06-17 17:33 - 2015-02-20 16:50 - 00000000 __SHD C:\Documents and Settings\NetworkService
2015-06-17 17:33 - 2015-02-20 16:50 - 00000000 __SHD C:\Documents and Settings\LocalService
2015-06-17 17:33 - 2013-05-04 21:19 - 00002206 _____ C:\windows\system32\wpa.dbl
2015-06-16 17:46 - 2015-02-21 15:12 - 00000464 ___SH C:\Documents and Settings\8vooJwHxWLOlWnsR+E5FGHRRwS+00VQSuNMNw1ZWqws=.xtbl
2015-06-16 17:46 - 2015-02-20 18:35 - 00000608 ___SH C:\CCWoiKVDHdtJtzsw0kDWQw==.xtbl
2015-06-16 17:46 - 2015-02-20 16:51 - 00000672 ___SH C:\Documents and Settings\Admin\9buw3tHZar+rvflz6-+4Fe49x-niWLQ86SuMzH6f67s=.xtbl
2015-06-16 17:46 - 2013-05-04 21:15 - 00005344 ___SH C:\NR5FDmwtv+zK48raCMyh84bptEFzi98LptlWOh4vWh8=.xtbl
2015-06-16 17:45 - 2015-03-06 21:38 - 00000000 ____D C:\Documents and Settings\Admin\Рабочий стол\катя
2015-06-16 17:45 - 2015-03-03 09:03 - 00000544 _____ C:\Documents and Settings\Admin\Рабочий стол\BGx5mFTaohzqEeYOOJJ1T+zOg7bZp3HMfIfWuBwqy3E=.xtbl
2015-06-16 17:45 - 2015-02-20 16:51 - 00000000 ___RD C:\Documents and Settings\Admin\Мои документы\Моя музыка
2015-06-16 17:45 - 2015-02-20 16:51 - 00000000 ___RD C:\Documents and Settings\Admin\Мои документы\Мои рисунки
2015-06-16 17:45 - 2015-02-20 16:51 - 00000000 ___RD C:\Documents and Settings\Admin\Мои документы
2015-06-16 17:45 - 2015-02-20 16:51 - 00000000 ___RD C:\Documents and Settings\Admin\Избранное
2015-06-16 17:37 - 2015-02-24 17:03 - 00001408 ____H C:\Documents and Settings\Default User\ERsjjazmbZSp47-EGfA-zAjsSICIrM+65U+QPN1SfiU=.xtbl
2015-06-16 17:37 - 2015-02-20 18:36 - 00000000 ___HD C:\Documents and Settings\Default User\Шаблоны
2015-06-16 17:37 - 2015-02-20 16:51 - 00000000 ___HD C:\Documents and Settings\Admin\Шаблоны
2015-06-16 17:37 - 2015-02-20 16:50 - 00000416 ___SH C:\Documents and Settings\NetworkService\sALOZqY6OSBHDvnKYQzupiPUnSjX2OnTTQzC4P+AX8s=.xtbl
2015-06-16 17:37 - 2015-02-20 16:50 - 00000416 ___SH C:\Documents and Settings\LocalService\eifjGh0vPfwT0o+gHhTCplo4Ol4crhM95H1GhbJEM84=.xtbl
2015-06-16 17:37 - 2015-02-20 16:46 - 00262528 ____H C:\Documents and Settings\Default User\iFzJcg0HPaOkdFTJ5ZG19Ql751OSMj+kEorustLLrdU=.xtbl
2015-06-12 16:18 - 2015-03-04 22:38 - 00000000 __SHD C:\KRECYCLE
2015-06-07 21:50 - 2015-02-20 18:36 - 00000000 ___RD C:\Documents and Settings\All Users\Документы
2015-06-06 21:11 - 2015-02-20 16:42 - 00000000 ____D C:\windows\system32\Restore
2015-05-30 22:24 - 2015-03-09 00:09 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\Skype
2015-05-26 16:28 - 2015-02-24 17:19 - 00002463 _____ C:\Documents and Settings\Admin\Рабочий стол\Microsoft Office Word 2003.lnk
 
==================== Files in the root of some directories =======
 
2015-06-16 17:46 - 2015-06-16 17:46 - 3072054 _____ () C:\Documents and Settings\Admin\Application Data\7FC77DF97FC77DF9.bmp
2015-03-31 22:07 - 2015-03-31 22:07 - 0613255 _____ (CMI Limited) C:\Documents and Settings\Admin\Local Settings\Application Data\nse1B0.tmp
 
==================== Bamital & volsnap Check =================
 
(There is no automatic fix for files that do not pass verification.)
 
C:\windows\explorer.exe
[2013-05-04 21:16] - [2008-04-15 15:00] - 1034240 ____A (Корпорация Майкрософт) 847c01ca71883702cc7445364dd9d097     
 
C:\windows\explorer.exe No Company Name <===== ATTENTION!
 
C:\windows\system32\winlogon.exe
[2013-05-04 21:19] - [2008-04-15 15:00] - 0509440 ____A (Корпорация Майкрософт) b3b5d5855127e240c88451030aaee76e     
 
C:\windows\system32\winlogon.exe No Company Name <===== ATTENTION!
 
C:\windows\system32\svchost.exe
[2013-05-04 21:19] - [2008-04-15 15:00] - 0014336 ____A (Microsoft Corporation) e948a9079d0e6350be92d4d3e0077f81     
 
C:\windows\system32\services.exe
[2013-05-04 21:18] - [2008-04-15 15:00] - 0111104 ____A (Корпорация Майкрософт) 0af0d6af45220adb9c30b33cfec41831     
 
C:\windows\system32\services.exe No Company Name <===== ATTENTION!
 
C:\windows\system32\User32.dll
[2013-05-04 21:19] - [2008-04-15 15:00] - 0579072 ____A (Корпорация Майкрософт) a9cdf92ea1cffb67448ef26f5df21a6f     
 
C:\windows\system32\User32.dll No Company Name <===== ATTENTION!
 
C:\windows\system32\userinit.exe
[2013-05-04 21:19] - [2008-04-15 15:00] - 0026624 ____A (Корпорация Майкрософт) 6fe9d84fab6df429bdaaf824053ff4f5     
 
C:\windows\system32\userinit.exe No Company Name <===== ATTENTION!
 
C:\windows\system32\rpcss.dll
[2013-05-04 21:18] - [2008-04-15 15:00] - 0401408 ____A (Microsoft Corporation) f70cc57608bf3cc9f89222a9e515dccf     
 
 ATTENTION ======> If the system is having audio adware rpcss.dll is patched. Google the MD5, if the MD5 is unique the file is infected.
C:\windows\system32\Drivers\volsnap.sys
[2013-05-04 21:19] - [2008-04-15 15:00] - 0051968 ____A (Корпорация Майкрософт) a79d899dfd0467c4df29af19902ecd18     
 
C:\windows\system32\Drivers\volsnap.sys No Company Name <===== ATTENTION!
 
 
==================== End of log =========================

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Ace Stream удалите через Установку программ

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM\...\Run: [gmsd_re_188] => [X]
HKLM\...\Run: [kxesc] => "c:\program files\kingsoft\kingsoft antivirus\kxetray.exe" -autorun
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S&q={searchTerms}
HKU\S-1-5-21-823518204-2025429265-1177238915-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S
HKU\S-1-5-21-823518204-2025429265-1177238915-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S&q={searchTerms}
HKU\S-1-5-21-823518204-2025429265-1177238915-500\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=655&systemid=448
HKU\S-1-5-21-823518204-2025429265-1177238915-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S
HKU\S-1-5-21-823518204-2025429265-1177238915-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S&q={searchTerms}
SearchScopes: HKU\S-1-5-21-823518204-2025429265-1177238915-500 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S&q={searchTerms}
SearchScopes: HKU\S-1-5-21-823518204-2025429265-1177238915-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S
FF Plugin HKU\S-1-5-21-823518204-2025429265-1177238915-500: @acestream.net/acestreamplugin,version=3.0.2 -> C:\Documents and Settings\Admin\Application Data\ACEStream\player\npace_plugin.dll [2014-12-07] (Innovative Digital Technologies)
FF SearchPlugin: C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\searchplugins\Ask.xml [2015-03-31]
FF SearchPlugin: C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\searchplugins\mystartsearch.xml [2015-04-01]
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\Ask.xml [2015-03-31]
FF Extension: App Lid - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\d9676068985d4d81bb390a@7be93ab3c8e144f694a0509d5.com [2015-04-01]
FF Extension: Shop Master - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\fZB8bZv2N@gmail.com [2015-05-28]
FF Extension: Fast Start - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\istart_ffnt@gmail.com [2015-03-31]
FF Extension: jid0HZ5UvAEiWWAxT9TKLuhEgUCARqojetpack - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\jid0-HZ5UvAEiWWAxT9TKLuhEgUCARqo@jetpack [2015-05-28]
FF Extension: AS Magic Player - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\magicplayer@acestream.org [2015-05-28]
FF Extension: Search Enginer - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\searchengine@gmail.com [2015-03-31]
FF Extension: Quick Searcher SNG - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-03-31]
FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\extensions\searchengine@gmail.com
FF HKLM\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\extensions\istart_ffnt@gmail.com
CHR Extension: (Web Protector - Reliable Phishing Protection) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\kfecnpmgnlnbmipaogfhoacoioifjgko [2015-06-18]
CHR Extension: (Chrome Hotword Shared Module) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-06-17]
2015-06-18 20:55 - 2015-06-18 20:55 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\WebExtend
2015-06-16 17:46 - 2015-06-16 17:46 - 03072054 _____ C:\Documents and Settings\Admin\Application Data\7FC77DF97FC77DF9.bmp
2015-06-15 16:16 - 2015-06-17 22:17 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2015-06-01 20:07 - 2015-06-01 20:07 - 00000000 ____D C:\Program Files\Napnut
2015-05-28 20:24 - 2015-06-21 09:50 - 00000522 _____ C:\windows\Tasks\shop_master_helper_service.job
2015-05-28 20:24 - 2015-05-28 20:24 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Shop Master
2015-04-01 14:18 - 2015-06-21 09:50 - 00000874 _____ C:\windows\Tasks\globalUpdateUpdateTaskMachineCore.job
2015-04-01 14:18 - 2015-06-21 02:23 - 00000878 _____ C:\windows\Tasks\globalUpdateUpdateTaskMachineUA.job
2015-04-01 14:18 - 2015-06-18 22:20 - 00000000 ____D C:\Program Files\App Lid
2015-04-01 14:18 - 2015-04-01 14:18 - 00000000 ____D C:\Program Files\globalUpdate
2015-04-01 14:18 - 2015-04-01 14:18 - 00000000 ____D C:\Program Files\beb05344-1ef1-4500-8ea2-2e58ee5c65eb
2015-04-01 14:18 - 2015-04-01 14:18 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\globalUpdate
2015-04-01 14:16 - 2015-04-01 14:16 - 00000000 ____D C:\Program Files\predm
2015-03-31 22:07 - 2015-03-31 22:07 - 00613255 _____ (CMI Limited) C:\Documents and Settings\Admin\Local Settings\Application Data\nse1B0.tmp
2015-03-31 22:07 - 2015-03-31 22:07 - 00000000 __SHD C:\Documents and Settings\Admin\Application Data\AnyProtectEx
2015-03-31 22:05 - 2015-03-31 22:05 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\mystartsearch
2015-03-31 22:04 - 2015-03-31 22:04 - 00008552 _____ C:\windows\system32\VCLOff.ini
2015-03-31 22:04 - 2015-03-31 22:04 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\VCL
2015-03-31 21:22 - 2015-04-01 14:16 - 00000000 ____D C:\Program Files\gmsd_re_188
2015-03-31 21:20 - 2015-03-31 21:20 - 00000000 ____D C:\Program Files\Movies App
2015-03-31 21:20 - 2015-03-31 21:20 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Datamngr
2015-03-31 21:09 - 2015-06-18 21:34 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\8F0BAB20-1427836193-11D8-928D-0016363FE84B
2015-03-31 21:03 - 2015-06-20 21:31 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\8F0BAB20-1427824993-11D8-928D-0016363FE84B
2015-03-31 20:59 - 2015-06-18 08:53 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\Browsers
2015-03-26 18:52 - 2015-03-26 18:52 - 00000000 ____D C:\Documents and Settings\Admin\Главное меню\Программы\Ace Stream Media
Task: C:\windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: C:\windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
gans1 Новичок

gans1

Опубликовано
  • Автор
Опубликовано

Ace Stream удалите через Установку программ

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
HKLM\...\Run: [gmsd_re_188] => [X]
HKLM\...\Run: [kxesc] => "c:\program files\kingsoft\kingsoft antivirus\kxetray.exe" -autorun
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S&q={searchTerms}
HKU\S-1-5-21-823518204-2025429265-1177238915-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S
HKU\S-1-5-21-823518204-2025429265-1177238915-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S&q={searchTerms}
HKU\S-1-5-21-823518204-2025429265-1177238915-500\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=655&systemid=448
HKU\S-1-5-21-823518204-2025429265-1177238915-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S
HKU\S-1-5-21-823518204-2025429265-1177238915-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S&q={searchTerms}
SearchScopes: HKU\S-1-5-21-823518204-2025429265-1177238915-500 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S&q={searchTerms}
SearchScopes: HKU\S-1-5-21-823518204-2025429265-1177238915-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1427828641&from=cmi&uid=TOSHIBAXMK6034GAX_261Q2262SXX261Q2262S
FF Plugin HKU\S-1-5-21-823518204-2025429265-1177238915-500: @acestream.net/acestreamplugin,version=3.0.2 -> C:\Documents and Settings\Admin\Application Data\ACEStream\player\npace_plugin.dll [2014-12-07] (Innovative Digital Technologies)
FF SearchPlugin: C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\searchplugins\Ask.xml [2015-03-31]
FF SearchPlugin: C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\searchplugins\mystartsearch.xml [2015-04-01]
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\Ask.xml [2015-03-31]
FF Extension: App Lid - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\d9676068985d4d81bb390a@7be93ab3c8e144f694a0509d5.com [2015-04-01]
FF Extension: Shop Master - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\fZB8bZv2N@gmail.com [2015-05-28]
FF Extension: Fast Start - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\istart_ffnt@gmail.com [2015-03-31]
FF Extension: jid0HZ5UvAEiWWAxT9TKLuhEgUCARqojetpack - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\jid0-HZ5UvAEiWWAxT9TKLuhEgUCARqo@jetpack [2015-05-28]
FF Extension: AS Magic Player - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\magicplayer@acestream.org [2015-05-28]
FF Extension: Search Enginer - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\searchengine@gmail.com [2015-03-31]
FF Extension: Quick Searcher SNG - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-03-31]
FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\extensions\searchengine@gmail.com
FF HKLM\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\p5z7v7gq.default\extensions\istart_ffnt@gmail.com
CHR Extension: (Web Protector - Reliable Phishing Protection) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\kfecnpmgnlnbmipaogfhoacoioifjgko [2015-06-18]
CHR Extension: (Chrome Hotword Shared Module) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-06-17]
2015-06-18 20:55 - 2015-06-18 20:55 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\WebExtend
2015-06-16 17:46 - 2015-06-16 17:46 - 03072054 _____ C:\Documents and Settings\Admin\Application Data\7FC77DF97FC77DF9.bmp
2015-06-15 16:16 - 2015-06-17 22:17 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2015-06-01 20:07 - 2015-06-01 20:07 - 00000000 ____D C:\Program Files\Napnut
2015-05-28 20:24 - 2015-06-21 09:50 - 00000522 _____ C:\windows\Tasks\shop_master_helper_service.job
2015-05-28 20:24 - 2015-05-28 20:24 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Shop Master
2015-04-01 14:18 - 2015-06-21 09:50 - 00000874 _____ C:\windows\Tasks\globalUpdateUpdateTaskMachineCore.job
2015-04-01 14:18 - 2015-06-21 02:23 - 00000878 _____ C:\windows\Tasks\globalUpdateUpdateTaskMachineUA.job
2015-04-01 14:18 - 2015-06-18 22:20 - 00000000 ____D C:\Program Files\App Lid
2015-04-01 14:18 - 2015-04-01 14:18 - 00000000 ____D C:\Program Files\globalUpdate
2015-04-01 14:18 - 2015-04-01 14:18 - 00000000 ____D C:\Program Files\beb05344-1ef1-4500-8ea2-2e58ee5c65eb
2015-04-01 14:18 - 2015-04-01 14:18 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\globalUpdate
2015-04-01 14:16 - 2015-04-01 14:16 - 00000000 ____D C:\Program Files\predm
2015-03-31 22:07 - 2015-03-31 22:07 - 00613255 _____ (CMI Limited) C:\Documents and Settings\Admin\Local Settings\Application Data\nse1B0.tmp
2015-03-31 22:07 - 2015-03-31 22:07 - 00000000 __SHD C:\Documents and Settings\Admin\Application Data\AnyProtectEx
2015-03-31 22:05 - 2015-03-31 22:05 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\mystartsearch
2015-03-31 22:04 - 2015-03-31 22:04 - 00008552 _____ C:\windows\system32\VCLOff.ini
2015-03-31 22:04 - 2015-03-31 22:04 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\VCL
2015-03-31 21:22 - 2015-04-01 14:16 - 00000000 ____D C:\Program Files\gmsd_re_188
2015-03-31 21:20 - 2015-03-31 21:20 - 00000000 ____D C:\Program Files\Movies App
2015-03-31 21:20 - 2015-03-31 21:20 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Datamngr
2015-03-31 21:09 - 2015-06-18 21:34 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\8F0BAB20-1427836193-11D8-928D-0016363FE84B
2015-03-31 21:03 - 2015-06-20 21:31 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\8F0BAB20-1427824993-11D8-928D-0016363FE84B
2015-03-31 20:59 - 2015-06-18 08:53 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\Browsers
2015-03-26 18:52 - 2015-03-26 18:52 - 00000000 ____D C:\Documents and Settings\Admin\Главное меню\Программы\Ace Stream Media
Task: C:\windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: C:\windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

     

     

  • Обратите внимание, что компьютер будет перезагружен.

     

     

 

не могу в блокноте сохранить как fixlist.txt. нажимаю сохранить как и тип формата "текстовый документ .txt" ничего не выходит что делать

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • itman
      История про зашифрованные файлы.
      Автор itman
      Добрый день всем! Хочу поведать вам всем поучительную историю как делать НЕ НАДО!!! В апреле месяце подцепили вирус -шифровальщик! Утром пришли  пользователи, а там все зашифровано на 3 севаках и 2х локалках на которых была расшаренная какая-то папка!! печаль !!! ну а что делать?! благо сисадмин делал копию раз в месяц акрониксом всех серверов, а бухгалтер помимо всего копии на внешний hdd каждое утро и хдд этот хранил в сейфе! (рекомендую всем бухгалтерам так делать!!!) и вот утром сисадмину звонок: -ААА!! Все пропало!! Что делать???? ничего не работает!!!  Помоги!!! и проч))) ну что проснулся от и начал смотреть что все таки произошло! на каждом из серваков при запуске вот такой текст: Encrypted by trust
       Email us for recovery: Rdpdik6@gmail.com
       In case of no answer, send to this email: Rdpp771@gmail.com
      Your unqiue ID:  писать не буду.
       Почти  все файлы (кроме *.dll и тому подобных и системных зашифрованы и переименованы по формуле имя.расширение. [Rdpdik6@gmail.com].lockedfile) и в каждой папке файлик txt c вот таким содержимым:
       Email 1:
      Rdpdik6@gmail.com
      Email 2:
      Rdpp771@gmail.com
      Send messages to both emails at the same time
      So send messages to our emails, check your spam folder every few hours
      ID: эту строчку сотру на всякий случай)
      If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
      Then send us a message with a new email
      Ну сисадмин начал заниматься восстановлением копии то есть пусть месячные но все же копии а базы 1с так вообще вчерашние!!!  (а это самое главное!) прежде чем все восстанавливать сделал копию того что зашифровали а мало ли)) ну и параллельно всё-таки решил он написать этим недо людям (медикам на букву П), что так и так копии есть ущерб не большой на то что пока будет восстанавливаться копия уйдет время давайте разойдемся все миром и в итоге договорились на 30 баксах. Сисадмин им перевел на их кошелек, а они его кинули ни хрена они ему не прислали!!!!
      Прошло какое-то время (месяца полтора!) и тут пользователи посмотрели что у одного там пара доков осталась в общей папке уже после того как делалась копия у другого тоже какие-то доки  у третьего вообще фото с корпоратива и подумали они что всё-таки давай заплатим этим  людям нетрадиционной ориентации) сумму которую они просят! Скинулись толпой. Вот на переговоры опять отправили сисадмина (как жаль его)! Опять шли переговоры пару дней а то и больше ну вроде нашли они компромисс с шантажистами в размере 250$ те опять прислали адрес куда переводить деньги причем второй раз без гарантий! Типа из всех гарантий попросили прислать любой зашифрованный файл не более мегабайта и они покажут что всё-таки могут расшифровать. Отправили им какой-то pdf они в ответ скрин файла только весь замазанный видно только пару слов по которым надо только больше догадываться! По итогу  Он им опять перевел общий банк:
      Получаете:
      200.0813 Tether TRC20 USDT
      На счет:
      TBgx7szAXYNSwPJz1Ama2K85kTXrCcsnG1
       
      И? что вы думаете? Эти деятели пишут:
      Sinior (это ник в телеге одного из шантажистов )
      Deposit $50
      Sinior
      I won't give you the key until you pay me $50.
      Типа вы не доплатили 50 баксов!! Вот так уважаемые читатели этого поста ни в коем случае не вздумайте им платить так как они вам все равно ничего не пришлют!!! А деньги вы потеряете!!! И ни одного файла не расшифруете там рассчитано не на то чтоб найти компромисс а на то чтоб выдурить с вас побольше денег!!!!!!!
      P.S.    Делайте резервные копии и храните их на внешних hhd  и не оставляйте их подключенными к компьютеру! Сделал копию и отключай да не удобно зато надежно!!!! Всем удачи!!!!
       
      Сообщение от модератора thyrex Перенесено из раздела по шифровальщикам
       
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
×
×
  • Создать...