вирус зашифровал все на компьюторе

[константин!1!11]

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
5F73933F95272F39D20A|0
на электронный адрес files1147@gmail.com или post100023@gmail.com .
Далее вы получите все необходимые инструкции. 
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. 

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
5F73933F95272F39D20A|0
to e-mail address files1147@gmail.com or post100023@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.06.18-17.57.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\progra~2\musict~1\datamngr\x64\mgrldr.dll','');
QuarantineFile('c:\progra~2\musict~1\datamngr\mgrldr.dll','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Program Files (x86)\BrowseMark\updateBrowseMark.exe','');
DeleteService('Update BrowseMark');
DeleteService('TooltipUtilityWYSIWYG.exe');
DeleteService('Steam Client Service');
DeleteService('RawSharewareSyntax.exe');
DeleteService('PrivacyRubyWYSIWYG.exe');
DeleteService('OpenPathWord.exe');
DeleteService('OfficePrivacyRoot.exe');
DeleteService('OfficeOSRaw.exe');
DeleteService('NativeWindowsWizard.exe');
DeleteService('NativeSpriteTooltip.exe');
DeleteService('NativeRepositoryWinsock.exe');
DeleteService('NativePythonWinsock.exe');
DeleteService('MySQLRootWYSIWYG.exe');
DeleteService('MySQLOSScreenshot.exe');
DeleteService('MySQLNetSoftware.exe');
DeleteService('MotionQuickUtility.exe');
DeleteService('MethodSnapshotUtility.exe');
DeleteService('MemoryMetafileWYSIWYG.exe');
DeleteService('MBRNativeScript.exe');
DeleteService('KeyboardODBCText.exe');
DeleteService('JRESDKThumbnail.exe');
DeleteService('JREPythonStart.exe');
DeleteService('JAVAMinimalRuby.exe');
DeleteService('JAVALogODBC.exe');
DeleteService('InteractivePrivacyPublic.exe');
DeleteService('IndexPythonRecycle.exe');
DeleteService('IndexMetafileMySQL.exe');
DeleteService('GNUSpriteTrash.exe');
DeleteService('GNUODBCPublic.exe');
DeleteService('GNUMBRWiget.exe');
DeleteService('GammaSambaThumbnail.exe');
DeleteService('FunctionPrivacyTask.exe');
DeleteService('FunctionGNUWinsock.exe');
DeleteService('FrozenJAVAPrivacy.exe');
DeleteService('FreewareProcessWin32.exe');
DeleteService('FormatOfficeSnapshot.exe');
DeleteService('FormatJREPython.exe');
DeleteService('FolderMinimalRuntime.exe');
DeleteService('FolderGammaRecycle.exe');
DeleteService('FirmwarePathSchema.exe');
DeleteService('FirmwareKeyboardSyntax.exe');
DeleteService('FinderInteractiveMacro.exe');
DeleteService('ExportRegisterThumbnail.exe');
DeleteService('ExportMethodOffice.exe');
DeleteService('EncondingMinimalScript.exe');
DeleteService('EncondingFirmwareGNU.exe');
DeleteService('e3a5b2dd005259418d990890c4e48894.exe');
DeleteService('DriverPathWord.exe');
DeleteService('DriverFAT32Schema.exe');
DeleteService('DockInteractiveJAVA.exe');
DeleteService('DLCRemoteRuntime.exe');
DeleteService('DLCMySQLPublic.exe');
DeleteService('DirectXWin32Winsock.exe');
DeleteService('DirectXScrollingWYSIWYG.exe');
DeleteService('DirectXRegisterScrolling.exe');
DeleteService('DirectXIconKernel.exe');
DeleteService('DirectXDOSRegister.exe');
DeleteService('Direct3dODBCSyntax.exe');
DeleteService('Direct3dEncondingRemote.exe');
DeleteService('DesktopMetafileSamba.exe');
DeleteService('DesktopFinderOffice.exe');
DeleteService('DefaultDLCScrolling.exe');
DeleteService('DebugDockODBC.exe');
DeleteService('DatabaseRubyUtility.exe');
DeleteService('DatabaseMySQLSDK.exe');
DeleteService('DatabaseMemoryPerl.exe');
DeleteService('DatabaseMBROS.exe');
DeleteService('DatabaseGUIImport.exe');
DeleteService('DatabaseGNUNet.exe');
DeleteService('DatabaseDirectXNative.exe');
DeleteService('DashboardDefaultMotion.exe');
DeleteService('DaemonMySQLThumbnail.exe');
DeleteService('DaemonDebuggerImport.exe');
DeleteService('CursorSoftwareWindows.exe');
DeleteService('CursorMotionNet.exe');
DeleteService('CursorIndexSyntax.exe');
DeleteService('CursorGUINet.exe');
DeleteService('CursorFirmwarePerl.exe');
DeleteService('CopyFilePython.exe');
DeleteService('ControlDaemonFile.exe');
DeleteService('ContextualMBRMotion.exe');
DeleteService('ContextualDirectXLog.exe');
DeleteService('ContextualDebuggerScript.exe');
DeleteService('CompilerFAT32Method.exe');
DeleteService('CompilerDashboardWizard.exe');
DeleteService('CommandMBRSprite.exe');
DeleteService('CommandCursorNet.exe');
DeleteService('CodecCursorWord.exe');
DeleteService('ClipboardWindowsWYSIWYG.exe');
DeleteService('ClipboardDockScript.exe');
DeleteService('ClassPerlRoot.exe');
DeleteService('CGISambaTask.exe');
DeleteService('CGIDOSMetafile.exe');
DeleteService('CGICursorDOS.exe');
DeleteService('BackupQuickShareware.exe');
DeleteService('BackupGNUProcess.exe');
DeleteService('ArchiveFreewareGNU.exe');
DeleteService('ArchiveContextualOpen.exe');
DeleteService('AppQuickRecycle.exe');
DeleteService('AppMotionTrash.exe');
DeleteService('ApplicationLogTask.exe');
DeleteService('ApplicationCompilerFrozen.exe');
DeleteService('ApplicationClassGUI.exe');
DeleteService('AppBackupWord.exe');
DeleteService('AddonCopyUtility.exe');
DeleteService('8f0e8bde3dda2ab.exe');
DeleteService('21888ba48232413.exe');
DeleteFile('C:\Program Files (x86)\BrowseMark\updateBrowseMark.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\TooltipUtilityWYSIWYG\TooltipUtilityWYSIWYG.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\RawSharewareSyntax\RawSharewareSyntax.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\PrivacyRubyWYSIWYG\PrivacyRubyWYSIWYG.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\PirritSuggestor\PirritService.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\OpenPathWord\OpenPathWord.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\OfficePrivacyRoot\OfficePrivacyRoot.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\OfficeOSRaw\OfficeOSRaw.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\NativeWindowsWizard\NativeWindowsWizard.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\NativeSpriteTooltip\NativeSpriteTooltip.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\NativeRepositoryWinsock\NativeRepositoryWinsock.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\NativePythonWinsock\NativePythonWinsock.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\MySQLRootWYSIWYG\MySQLRootWYSIWYG.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\MySQLOSScreenshot\MySQLOSScreenshot.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\MySQLNetSoftware\MySQLNetSoftware.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\MotionQuickUtility\MotionQuickUtility.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\MethodSnapshotUtility\MethodSnapshotUtility.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\MemoryMetafileWYSIWYG\MemoryMetafileWYSIWYG.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\MBRNativeScript\MBRNativeScript.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\KeyboardODBCText\KeyboardODBCText.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\JRESDKThumbnail\JRESDKThumbnail.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\JREPythonStart\JREPythonStart.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\JAVAMinimalRuby\JAVAMinimalRuby.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\JAVALogODBC\JAVALogODBC.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\InteractivePrivacyPublic\InteractivePrivacyPublic.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\IndexPythonRecycle\IndexPythonRecycle.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\IndexMetafileMySQL\IndexMetafileMySQL.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\GNUSpriteTrash\GNUSpriteTrash.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\GNUODBCPublic\GNUODBCPublic.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\GNUMBRWiget\GNUMBRWiget.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\GammaSambaThumbnail\GammaSambaThumbnail.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\FunctionPrivacyTask\FunctionPrivacyTask.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\FunctionGNUWinsock\FunctionGNUWinsock.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\FrozenJAVAPrivacy\FrozenJAVAPrivacy.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\FreewareProcessWin32\FreewareProcessWin32.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\FormatOfficeSnapshot\FormatOfficeSnapshot.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\FormatJREPython\FormatJREPython.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\FolderMinimalRuntime\FolderMinimalRuntime.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\FolderGammaRecycle\FolderGammaRecycle.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\FirmwarePathSchema\FirmwarePathSchema.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\bff62a5ffc8c2687b8b9819e49f016c5\FirmwareKeyboardSyntax.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\FinderInteractiveMacro\FinderInteractiveMacro.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ExportRegisterThumbnail\ExportRegisterThumbnail.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ExportMethodOffice\ExportMethodOffice.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\EncondingMinimalScript\EncondingMinimalScript.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\EncondingFirmwareGNU\EncondingFirmwareGNU.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\e3a5b2dd005259418d990890c4e48894\e3a5b2dd005259418d990890c4e48894.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DriverPathWord\DriverPathWord.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DriverFAT32Schema\DriverFAT32Schema.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DockInteractiveJAVA\DockInteractiveJAVA.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DLCRemoteRuntime\DLCRemoteRuntime.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DLCMySQLPublic\DLCMySQLPublic.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DirectXWin32Winsock\DirectXWin32Winsock.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DirectXScrollingWYSIWYG\DirectXScrollingWYSIWYG.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DirectXRegisterScrolling\DirectXRegisterScrolling.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DirectXIconKernel\DirectXIconKernel.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DirectXDOSRegister\DirectXDOSRegister.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\Direct3dODBCSyntax\Direct3dODBCSyntax.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\Direct3dEncondingRemote\Direct3dEncondingRemote.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DesktopMetafileSamba\DesktopMetafileSamba.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DesktopFinderOffice\DesktopFinderOffice.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DefaultDLCScrolling\DefaultDLCScrolling.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DefaultDirect3dRoot\DefaultDirect3dRoot.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DebuggerFirmwareMemory\DebuggerFirmwareMemory.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DebugDockODBC\DebugDockODBC.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DatabaseRubyUtility\DatabaseRubyUtility.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DatabaseMySQLSDK\DatabaseMySQLSDK.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DatabaseMemoryPerl\DatabaseMemoryPerl.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DatabaseMBROS\DatabaseMBROS.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DatabaseGUIImport\DatabaseGUIImport.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DatabaseGNUNet\DatabaseGNUNet.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DatabaseDirectXNative\DatabaseDirectXNative.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DashboardDefaultMotion\DashboardDefaultMotion.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DaemonMySQLThumbnail\DaemonMySQLThumbnail.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\DaemonDebuggerImport\DaemonDebuggerImport.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CursorSoftwareWindows\CursorSoftwareWindows.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CursorMotionNet\CursorMotionNet.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CursorIndexSyntax\CursorIndexSyntax.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CursorGUINet\CursorGUINet.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CursorFirmwarePerl\CursorFirmwarePerl.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CopyFilePython\CopyFilePython.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ControlDaemonFile\ControlDaemonFile.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ContextualMBRMotion\ContextualMBRMotion.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ContextualDirectXLog\ContextualDirectXLog.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ContextualDebuggerScript\ContextualDebuggerScript.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CompilerFAT32Method\CompilerFAT32Method.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CompilerDashboardWizard\CompilerDashboardWizard.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CommandMBRSprite\CommandMBRSprite.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CommandCursorNet\CommandCursorNet.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CodecCursorWord\CodecCursorWord.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ClipboardWindowsWYSIWYG\ClipboardWindowsWYSIWYG.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ClipboardDockScript\ClipboardDockScript.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ClassPerlRoot\ClassPerlRoot.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CGISambaTask\CGISambaTask.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CGIDOSMetafile\CGIDOSMetafile.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\CGICursorDOS\CGICursorDOS.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\BackupQuickShareware\BackupQuickShareware.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\BackupGNUProcess\BackupGNUProcess.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ArchiveFreewareGNU\ArchiveFreewareGNU.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ArchiveContextualOpen\ArchiveContextualOpen.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\AppQuickRecycle\AppQuickRecycle.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\AppMotionTrash\AppMotionTrash.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ApplicationLogTask\ApplicationLogTask.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ApplicationCompilerFrozen\ApplicationCompilerFrozen.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\ApplicationClassGUI\ApplicationClassGUI.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\AppBackupWord\AppBackupWord.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\AddonCopyUtility\AddonCopyUtility.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\e7304e9d132603565f90a3c8b8a5832f\8f0e8bde3dda2ab.exe','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\0344f822feca7f6f01ce516df3a59715\21888ba48232413.exe','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\Evgeniy\AppData\Roaming\newnext.me\nengine.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NextLive');
DeleteFile('c:\progra~2\musict~1\datamngr\mgrldr.dll','32');
DeleteFile('c:\progra~2\musict~1\datamngr\x64\mgrldr.dll','32');
DeleteFile('C:\Users\Evgeniy\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll','32');
DeleteFile('C:\Windows\system32\Tasks\BackgroundContainer Startup Task','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[константин!1!11]

KLAN-2882236148

 

 

 

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe - Trojan.Win32.Fsysna.cbww

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

csrss.exe - Trojan.Win32.Fsysna.cbww

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

[thyrex]

Новые логи где?

[константин!1!11]

Новые логи где?

а что это, и как их сделать?

[thyrex]

Все, как и для первого сообщения

[константин!1!11]

вот новые логи

 

CollectionLog-2015.06.18-23.56.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[константин!1!11]

вот два файла

FRST.txt

Addition.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
FF SearchPlugin: C:\Users\Evgeniy\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\babylon.xml [2013-05-26]
FF SearchPlugin: C:\Users\Evgeniy\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\BrowserProtect.xml [2013-05-26]
FF SearchPlugin: C:\Users\Evgeniy\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\delta.xml [2013-05-26]
FF Extension: TrollBar - C:\Users\Evgeniy\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\itsmile@biz-talk.ru [2013-11-10]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1711001940-472472336-1467688116-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119357&tt=gc_&babsrc=SP_ss_din2g&mntrId=E283E006E68D86F5
SearchScopes: HKU\S-1-5-21-1711001940-472472336-1467688116-1000 -> yandex.ru-131847 URL = http://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-1711001940-472472336-1467688116-1000 -> yandex.ru-220410 URL = http://search.babylon.com/?q={searchTerms}&affID=119357&tt=gc_&babsrc=SP_ss_din2g&mntrId=E283E006E68D86F5
SearchScopes: HKU\S-1-5-21-1711001940-472472336-1467688116-1000 -> {E017A39F-BEB0-4CC2-88CB-B1EA08A0E8AD} URL = http://websearch.ask.com/redirect?client=ie&tb=PTV&o=15184&src=kw&q={searchTerms}&locale=ru_RU&apn_ptnrs=^RY&apn_dtid=^YYYYYY^V2^RU&apn_uid=4f9a86c3-bb3e-4e08-867d-0910e13150a0&apn_sauid=74FB3C48-E4D9-45F2-A691-7DDB2977CA7B
Toolbar: HKU\S-1-5-21-1711001940-472472336-1467688116-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-1711001940-472472336-1467688116-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-1711001940-472472336-1467688116-1000 -> No Name - {754B5F22-7554-4045-ABB0-07989D32C20F} -  No File
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKLM-x32 - No Name - {98889811-442D-49dd-99D7-DC866BE87DBC} -  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: No Name -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} ->  No File
2015-06-19 01:07 - 2015-06-19 01:07 - 00000000 ____D C:\Users\Evgeniy\AppData\Local\Поиcк в Интeрнете
2015-06-19 01:06 - 2015-06-19 01:07 - 00003506 _____ C:\Windows\System32\Tasks\nethost task
2015-06-19 01:06 - 2015-06-19 01:06 - 00000000 ____D C:\Users\Evgeniy\AppData\Local\SystemDir
2015-06-19 01:04 - 2015-06-19 01:05 - 00000178 _____ C:\Users\Evgeniy\Desktop\Искать в Интернете.url
2015-06-18 02:07 - 2015-06-18 02:07 - 03148854 _____ C:\Users\Evgeniy\AppData\Roaming\49B2E42449B2E424.bmp
2015-06-17 20:13 - 2015-06-18 21:06 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-17 20:13 - 2015-06-18 21:06 - 00000000 __SHD C:\ProgramData\Windows
2015-06-15 11:42 - 2015-06-15 11:42 - 00000000 _____ C:\Windows\SysWOW64\shoDFD1.tmp
C:\Users\Evgeniy\AppData\Local\Temp\00RMJPAbXhTA.exe
C:\Users\Evgeniy\AppData\Local\Temp\2ya2M5iSOYM9.exe
C:\Users\Evgeniy\AppData\Local\Temp\64gfwcAGxXp5.exe
C:\Users\Evgeniy\AppData\Local\Temp\BundleSweetIMSetup.exe
C:\Users\Evgeniy\AppData\Local\Temp\CMcZy39A99aZ.exe
C:\Users\Evgeniy\AppData\Local\Temp\Delta.exe
C:\Users\Evgeniy\AppData\Local\Temp\DeltaTB.exe
C:\Users\Evgeniy\AppData\Local\Temp\FG2FbTayC1tI.exe
C:\Users\Evgeniy\AppData\Local\Temp\JhkWQT7Wr3iV.exe
C:\Users\Evgeniy\AppData\Local\Temp\Mtgn8vXCZemb.exe
C:\Users\Evgeniy\AppData\Local\Temp\MybabylonTB.exe
C:\Users\Evgeniy\AppData\Local\Temp\o0cWCq5ophN3.exe
C:\Users\Evgeniy\AppData\Local\Temp\QIdFccirZKQK.exe
C:\Users\Evgeniy\AppData\Local\Temp\SP56750.exe
C:\Users\Evgeniy\AppData\Local\Temp\SP59927.exe
C:\Users\Evgeniy\AppData\Local\Temp\SP62218.exe
C:\Users\Evgeniy\AppData\Local\Temp\SP62765.exe
C:\Users\Evgeniy\AppData\Local\Temp\sp64126.exe
C:\Users\Evgeniy\AppData\Local\Temp\TDXYK8r74Ooy.exe
C:\Users\Evgeniy\AppData\Local\Temp\ufNE9kwa4Q01.exe
Task: {780C43A8-3D1F-4857-80AA-03B0459BFE35} - \BackgroundContainer Startup Task No Task File <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

   

   

• Обратите внимание, что компьютер будет перезагружен.

   

   

[константин!1!11]

логи

Fixlog.txt

[thyrex]

С расшифровкой не поможем.

 

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии

[константин!1!11]

спасибо за помощ, а что посоветуете? переусьановить винду?

[thyrex]

Смысла в переустановке нет. Вирус удален, новые файлы шифроваться не будут.

А если зашифрованные не нужны, то их можно просто удалить