Olga Karionova Опубликовано 10 июля, 2015 Опубликовано 10 июля, 2015 Здравствуйте. Зашифровались данные, поменялось расширение на xtbl. "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 04F0BE3043ED03E8DA6C|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации." Спасибо заранее за помощь. CollectionLog-2015.07.10-22.12.zip
mike 1 Опубликовано 10 июля, 2015 Опубликовано 10 июля, 2015 Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Olga Karionova Опубликовано 10 июля, 2015 Автор Опубликовано 10 июля, 2015 ... ClearLNK-10.07.2015_23-46.log AdwCleanerR0.txt
mike 1 Опубликовано 10 июля, 2015 Опубликовано 10 июля, 2015 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
mike 1 Опубликовано 10 июля, 2015 Опубликовано 10 июля, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Olga Karionova Опубликовано 10 июля, 2015 Автор Опубликовано 10 июля, 2015 (изменено) ... FRST.txt Addition.txt Изменено 10 июля, 2015 пользователем Olga Karionova
mike 1 Опубликовано 10 июля, 2015 Опубликовано 10 июля, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM\...\Run: [gpuminer] => C:\Users\olga_kar\AppData\Roaming\cpuminer\sgminer\sgminer.cmd C:\Users\olga_kar\AppData\Roaming\cpuminer HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCTRAY.EXE" /regrun /qqrepair Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Password.lnk [2014-05-12] ShortcutTarget: Password.lnk -> C:\Windows\Temp\Password.exe (No File) ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMGCShellExt64.dll No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION BHO: ????????? -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TSWebMon64.dat No File BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File FF Plugin: @iqiyi.com/npclient -> C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\npclient.dll No File FF Plugin: @iqiyi.com/npWebPlayer -> C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @baidu.com/npxbdcntb -> C:\Program Files (x86)\Baidu\BaiduPinyin\2.14.2.46\npxbdcntb.dll No File FF Plugin-x32: @iqiyi.com/npclient -> C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\npclient.dll No File FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\npQMExtensionsMozilla.dll No File FF Extension: HD+V1.0 - C:\Users\Olga\AppData\Roaming\Mozilla\Firefox\Profiles\6uv47tmb.default\Extensions\0f606e47-2ee3-45cb-ad45-5585a3f1b12e@73359c31-a0c3-4085-b9a0-af433e9f9c18.com [2014-08-31] FF Extension: Cinema-Plus-1.5c - C:\Users\Olga\AppData\Roaming\Mozilla\Firefox\Profiles\6uv47tmb.default\Extensions\DFCU50039250@GP61178090.com [2014-11-09] FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [not found] CHR Extension: (HD+V1.0) - C:\Users\Olga\AppData\Local\Google\Chrome\User Data\Default\Extensions\jmjonpeiaiacbgfgemlchebljmfgjnmh [2014-10-03] File: C:\Program Files (x86)\Smooth Distribution\Smooth Distribution.exe R2 RsMgrSvc; C:\Program Files (x86)\Rising\RSD\RsMgrSvc.exe [179992 2014-09-02] (Beijing Rising Information Technology Co., Ltd.) 2015-07-09 00:50 - 2015-07-09 00:50 - 03148854 _____ C:\Users\olga_kar\AppData\Roaming\A6C7E53EA6C7E53E.bmp 2015-07-06 21:47 - 2015-07-09 01:21 - 00000000 __SHD C:\ProgramData\Windows 2015-07-03 02:00 - 2015-07-06 23:25 - 00000000 ____D C:\ProgramData\4776dc07-f30f-4d0b-87a6-e2d583c890d4 2015-07-03 01:21 - 2015-07-03 01:21 - 00000000 ____D C:\ProgramData\KingSoft 2015-07-03 01:19 - 2015-07-03 01:20 - 00000000 ____D C:\ProgramData\Rising 2015-07-03 01:19 - 2015-07-03 01:19 - 00000000 ____D C:\Program Files (x86)\Rising 2015-07-03 01:17 - 2015-07-03 01:18 - 00000000 ____D C:\Users\olga_kar\AppData\Roaming\Baidu 2015-07-03 01:17 - 2015-07-03 01:18 - 00000000 ____D C:\ProgramData\Baidu 2015-07-03 01:15 - 2015-07-03 01:15 - 00000000 ____D C:\Users\olga_kar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\???? 2015-07-03 00:40 - 2015-07-09 01:34 - 00000000 ____D C:\Program Files (x86)\CinemaPlus-4.5vV02.07 2015-07-03 00:40 - 2015-07-06 22:59 - 00000000 ____D C:\Program Files (x86)\f2fde532-47ae-4cc3-b2d0-3c72311a5f7a 2015-07-03 00:40 - 2015-07-03 00:40 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 2015-07-03 00:32 - 2015-07-03 00:32 - 00000000 ____D C:\Users\Public\QiYi 2015-07-03 00:23 - 2015-07-09 01:25 - 00000000 ____D C:\Program Files (x86)\baidu 2015-07-03 00:09 - 2015-07-03 00:09 - 00000000 ____D C:\Program Files (x86)\TerminusKeeper 2015-07-03 00:08 - 2015-07-06 22:39 - 00000000 ____D C:\Program Files (x86)\FlashControl 2015-07-03 00:05 - 2015-07-09 00:40 - 00000000 ____D C:\ProgramData\12944428939651253246 2015-07-03 00:04 - 2015-07-11 00:04 - 00000410 _____ C:\Windows\Tasks\UltimateMusic.job Task: {18CE01CD-295C-45A0-8D2B-CD9E140EA0A5} - System32\Tasks\{9E14A8A9-78EB-4A35-8C20-7988F7C224AD} => pcalua.exe -a "C:\Users\olga_kar\AppData\Roaming\IQIYI Video\Common\QyUninstaller.exe" Task: C:\Windows\Tasks\crazy_deals_helper_service.job => C:\Program Files (x86)\Crazy Deals\crazy_deals_helper_service.exe Task: C:\Windows\Tasks\UltimateMusic.job => c:\programdata\{a7cf04fc-e3a8-59cc-a7cf-f04fce3a13f3}\any video converter ultimate 5.7.1.rar.exe <==== ATTENTION FirewallRules: [{CBA6ED06-8B66-4E5E-8BD5-6DC1ABF6E527}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe FirewallRules: [{D1C5037E-FEF5-454F-B317-0BF113A7B8AD}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\GeePlayer\GeePlayer.exe FirewallRules: [{BE8706FE-9915-415F-B7F0-705E57B05530}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe FirewallRules: [{B2374CB5-0C37-45CD-A4CD-37F6CAFA96E1}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\QyClient.exe FirewallRules: [{F6E9D204-88A4-44C9-B9F2-19D4E500B293}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\QyWebPlayer.exe FirewallRules: [{5395CC0F-CA24-434A-9763-1B63ED6D00BC}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\Common\QyKernel.exe FirewallRules: [{9C100EBC-0D3F-4294-B3CA-14307962FD06}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\QyPlayer.exe FirewallRules: [{8DE5DCB1-7818-4C40-9C3D-A66D0936CEDD}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{B1FDDC96-591D-434E-B17D-DA3D2427424A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCmgrInstallGuide.exe FirewallRules: [{C1B55E02-97B7-49DF-B0FE-AEE3EEDCBAFB}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{4B9380B2-5CFC-48D6-B824-2FA24937FC24}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCTray.exe FirewallRules: [{E8D115C7-9BE0-42E7-914A-539D9A536206}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCMgr.exe FirewallRules: [{F543A3B4-033C-4FF6-8361-9EFAF2A964E5}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCRTP.exe FirewallRules: [{900233CE-45FE-4B16-92F3-0D8BC9B87E92}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMDL.exe FirewallRules: [{5B5DFDE1-9771-4138-B28A-4564CD5BCB77}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\bugreport.exe FirewallRules: [{FE682472-3776-44EF-92A4-D438604D17FB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCFileOpen.exe FirewallRules: [{8875470D-C71E-461D-9F09-662790D7410D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCLeakScan.exe FirewallRules: [{83B17FDD-2F32-49EF-AF98-34A76E3CF64D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPConfig.exe FirewallRules: [{3705AB6C-2E9F-436A-9EC0-05CC906A96CB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCSoftMgr.exe FirewallRules: [{C1C68660-2DE9-45B8-A210-B208354C0146}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\QMNetMon\QQPCNetFlow.exe FirewallRules: [{4121BBE3-B621-4845-8AA2-75CEFC1CBA5F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCBTU.exe FirewallRules: [{FBD87FF1-BBA2-4557-89B4-27FC9880C871}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCClinic.exe FirewallRules: [{58270FB9-C68E-4DF1-8362-DBCD92E76153}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCLaunch.exe FirewallRules: [{51693B4A-F54B-4EB0-8F55-5FD3FF018CFA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUpdate\QQPCMgrUpdate.exe FirewallRules: [{FA991D30-3436-4DC4-AC6E-9C52E5997D9E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCSoftGame.exe FirewallRules: [{B55A1537-F2F2-48BE-A32C-60EA4672205A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCSysOptimize.exe FirewallRules: [{AAA248D9-5241-41F6-B031-0FC849856730}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCUpdateAVLib.exe FirewallRules: [{0B5C34CA-4BCF-495F-B28D-F1EDF1DE072A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQRepair.exe FirewallRules: [{9ACB9B25-C362-49D5-B2F5-7662A04373C5}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\Uninst.exe FirewallRules: [{EE709D12-C2DA-4D29-AB97-6EEBDDE28665}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCPatch.exe FirewallRules: [{999902A7-053F-4AA7-8822-2CE08341A7FB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TpkUpdate.exe FirewallRules: [{C8F9F829-3024-46EF-B7CA-9E4C325452DE}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMRouterMgr.exe FirewallRules: [{BD184C33-3DBD-4FB1-B8E2-52E62982EC2E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMAccountProtection.exe FirewallRules: [{DA2E3146-04B4-413D-90CB-F328F24B2571}] => (Allow) C:\Program Files (x86)\baidu\BaiduPinyin\UIFrame\1.0.0.150\UIFrame.exe FirewallRules: [{D73A157F-715B-4B79-AF59-91FD8A15A265}] => (Allow) C:\Program Files (x86)\baidu\BaiduPinyin\UIFrame\1.0.0.150\UIFrame.exe Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Скачайте Junkware Removal Tool by thisisu отсюда и сохраните утилиту на Рабочем столе Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Запустите утилиту (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора) Дождитесь окончания сканирования и удаления По завершению сканирования лог (JRT.txt) будет сохранен на Рабочем столе и автоматически открыт в Блокноте. Прикрепите полученный лог JRT.txt к своему следующему сообщению.
mike 1 Опубликовано 11 июля, 2015 Опубликовано 11 июля, 2015 Проверьте эти файлы на virustotal C:\Program Files (x86)\Smooth Distribution\Smooth Distribution.exe кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
Olga Karionova Опубликовано 11 июля, 2015 Автор Опубликовано 11 июля, 2015 https://www.virustotal.com/en/file/6cbd4f87e893719f519485fe57eef420fd38ae555181aae8a09078dad9833d09/analysis/1436631163/
mike 1 Опубликовано 11 июля, 2015 Опубликовано 11 июля, 2015 Логи в порядке. По расшифровке: При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти