Вирус-шифровальщик .XTBL

[simm]

Здравствуйте. Поймал вирус-шифровальщик. Чистил cureitом. Помогите с расшифровкой файлов!!! Прикрепляю логи и зашифрованную фотку. Заранее спасибо.

CollectionLog-2015.08.31-01.28.zip

111.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\simm\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-6.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5.exe','');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.2vV26.08\5d2d5bae-4303-4fb2-b1af-150f436ebe19-5.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.2vV26.08\5d2d5bae-4303-4fb2-b1af-150f436ebe19-1-7.exe','');
DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
QuarantineFile('C:\Users\simm\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk','');
QuarantineFile('C:\Users\simm\AppData\Roaming\dfibhtfe\eafaejsi.exe','');
QuarantineFile('C:\Users\simm\AppData\Local\YhlPack\ShTrust.dll','');
QuarantineFile('C:\Users\simm\AppData\Local\Kometa\kometaup.exe','');
DeleteService('QMUdisk');
DeleteService('TS888x64');
DeleteService('TSSKX64');
DeleteService('wsafd_1_10_0_19');
QuarantineFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','');
QuarantineFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\hnsuE5E5.tmp','');
QuarantineFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\knsdE1CC.tmp','');
QuarantineFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\jnsoCDB1.tmp','');
QuarantineFile('C:\Program Files\NixSrv\NixSrv.exe','');
DeleteService('totyseku');
DeleteService('NixSrv');
DeleteService('kozeliso');
DeleteService('jimocoso');
DeleteService('globalUpdatem');
DeleteService('globalUpdate');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
SetServiceStart('SSFK', 4);
DeleteService('SSFK');
SetServiceStart('ExtTag', 4);
DeleteService('ExtTag');
QuarantineFile('C:\ProgramData\ExtTag\Solosiltex.dll','');
QuarantineFile('C:\ProgramData\ExtTag\ExtTag.dll','');
TerminateProcessByName('c:\programdata\vwinmanprov\winmanpro.exe');
QuarantineFile('c:\programdata\vwinmanprov\winmanpro.exe','');
TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
QuarantineFile('c:\program files (x86)\sfk\ssfk.exe','');
TerminateProcessByName('C:\Program Files (x86)\SFK\SFKEX64.exe');
QuarantineFile('C:\Program Files (x86)\SFK\SFKEX64.exe','');
TerminateProcessByName('c:\programdata\exttag\kaystring.exe');
QuarantineFile('c:\programdata\exttag\kaystring.exe','');
TerminateProcessByName('c:\programdata\exttag\exttag.exe');
QuarantineFile('c:\programdata\exttag\exttag.exe','');
DeleteFile('c:\programdata\exttag\exttag.exe','32');
DeleteFile('c:\programdata\exttag\kaystring.exe','32');
DeleteFile('C:\Program Files (x86)\SFK\SFKEX64.exe','32');
DeleteFile('c:\program files (x86)\sfk\ssfk.exe','32');
DeleteFile('c:\programdata\vwinmanprov\winmanpro.exe','32');
DeleteFile('C:\ProgramData\ExtTag\ExtTag.dll','32');
DeleteFile('C:\ProgramData\ExtTag\Solosiltex.dll','32');
DeleteFile('C:\Program Files\NixSrv\NixSrv.exe','32');
DeleteFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\jnsoCDB1.tmp','32');
DeleteFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\knsdE1CC.tmp','32');
DeleteFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\hnsuE5E5.tmp','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TS888x64.sys','32');
DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32');
DeleteFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','32');
DeleteFile('C:\Program Files (x86)\Rising\RSD\popwndexe.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RSDTRAY','command');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\plugins\FileSmash\QMSoftExt.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{754DF2CE-51E8-4895-B53C-6381418B84AE}');
DeleteFile('C:\Program Files (x86)\baidu\pps.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide','command');
DeleteFile('C:\Users\simm\AppData\Local\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater','command');
DeleteFile('C:\Users\simm\AppData\Local\Temp\A9CF.tmp.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YhlPack','command');
DeleteFile('C:\Users\simm\AppData\Roaming\dfibhtfe\eafaejsi.exe','32');
DeleteFile('C:\Users\simm\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ESET');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YkPack');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\divgdadxxu','command');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UTmedia');
DeleteFile('C:\Program Files (x86)\CinemaPlus-4.2vV26.08\5d2d5bae-4303-4fb2-b1af-150f436ebe19-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaPlus-4.2vV26.08\5d2d5bae-4303-4fb2-b1af-150f436ebe19-5.exe','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\5d2d5bae-4303-4fb2-b1af-150f436ebe19-5.job','64');
DeleteFile('C:\Windows\Tasks\5d2d5bae-4303-4fb2-b1af-150f436ebe19-1-7.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-6.job','64');
DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-7.job','64');
DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-10_user.job','64');
DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5.job','64');
DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5_user.job','64');
DeleteFile('C:\Windows\Tasks\Crossbrowse.job','64');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-10.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-6.exe','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-6','64');
DeleteFile('C:\Windows\system32\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-10_user','64');
DeleteFile('C:\Windows\system32\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5_user','64');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core','64');
DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update','64');
DeleteFile('C:\Windows\system32\Tasks\{2EEA4EFD-1264-425A-93D9-52E4E00F0544}','64');
DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','32');
DeleteFile('C:\Users\simm\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[simm]

Re: Virus [KLAN-3094911549]

От кого: newvirus@kaspersky.com Кому: gsu_irk@mail.ru

 

Сегодня, 9:35

 

 

 

 

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

eafaejsi.exe - Trojan.Win32.Fsysna.cffc
exttag.exe - Trojan.MSIL.Agent.abdvm

Детектирование файлов будет добавлено в следующее обновление.

ShTrust.dll,
Solosiltex.dll,
ExtTag.dll,
winmanpro.exe,
ssfk.exe,
kaystring.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

NixSrv.exe - not-a-virus:AdWare.Win32.Amonetize.bdjk
SFKEX64.exe - not-a-virus:AdWare.Win64.Agent.be

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
 

CollectionLog-2015.08.31-10.01.zip

Изменено 31 августа, 2015 пользователем simm

[thyrex]

Сделайте лог полного сканирования МВАМ

[simm]

Сделал

MBAM.txt

[thyrex]

Удалите в МВАМ все, кроме

Trojan.Agent.CK, E:\Install\ESET NOD32\ESET 8\TNod-1.4.2.3-final-setup.exe, , [203d69a617743303dc944f20c54028d8], 
PUP.Optional.OpenCandy, E:\Install\Multimedia\CD_DVD\DTLite4452-0287.exe, , [e677947b0b80ad890fc02360759027d9], 
PUP.RiskWare.Patcher, E:\Install\Multimedia\Photodex ProShow Producer\Photodex ProShow Producer v6.0.3410 Final Eng_Rus\patch Producer & Gold 6.0.3410 by KHG\proshow.producer.-.gold.6.0.3410-patch.exe, , [05588a8592f9360064084f70bb4605fb], 
RiskWare.Tool.CK, E:\Install\Multimedia\QTime.7.6.9\QTime.7.6.9\Keygen.exe, , [451858b7b0dbcb6b25248a8656aca759], 
PUP.HackTool.Patcher, E:\Install\Multimedia\Видео\Захват\IUVCR\Crack\.4.12.0.375-rus-crack.exe, , [134a11fedbb0c86e3b91c8408e728e72], 
PUP.HackTool.Patcher, E:\Install\Multimedia\Видео\Захват\IUVCR\Crack\4.12.0.375-eng-crack.exe, , [0f4ebd525932072fae1e11f728d804fc], 
RiskWare.Tool.CK, E:\Install\Multimedia\Видео\Захват\IUVCR\Crack\Addon.exe, , [411cd8375932a59137b0214d4cb93ec2], 
RiskWare.Tool.CK, E:\Install\Multimedia\Видео\Кодирование\Xilisoft Video Converter Ultimate v7.8.5 Build-20141031 Final Ml_Rus\medicine.exe, , [203dec238cff7db942d07ffb5aa7e31d], 
HackTool.WpaKill, E:\Install\OC\All activation Win 7\RemoveWAT.exe, , [421b729d0b802511ac0764669b66b64a], 
HackTool.WpaKill, E:\Install\OC\All activation Win 7\Activators\RemoveWAT.exe, , [bba2b55adab1a294753ef6d49e6358a8], 
HackTool.Agent, E:\Install\OC\All activation Win 7\Activators\Windows.Loader.v2.2.1\Windows Loader.exe, , [77e6d43bc7c41125a97deed1eb16af51], 
PUP.HackTool, E:\Install\OC\All activation Win 7\KMS\mini-KMS Activator EN\mKMSAct.exe, , [3c2115fa2467ac8adb7810af847d619f], 
PUP.HackTool, E:\Install\OC\All activation Win 7\KMS\mini-KMS Activator RU\mKMSAct.exe, , [bf9e0c03860569cdcc879827cc35b749], 
PUP.HackTool, E:\Install\OC\All activation Win 7\KMS\miniKMS by Ivn78\mini-KMS Activator EN\mKMSAct.exe, , [9cc1d7382a61aa8c95beb708ee13b947], 
PUP.HackTool, E:\Install\OC\All activation Win 7\KMS\miniKMS by Ivn78\mini-KMS Activator RU\mKMSAct.exe, , [1449838c414a25113a19962960a1dc24], 
RiskWare.Tool.CK, E:\Install\OC\All activation Win 7\KMS\SuperMini_KMS\Keygen.exe, , [e6773ad5b5d681b57d8aa9baaa56a65a], 
Trojan.Dropper.PGen, E:\Install\OC\UltraISO Premium Edition v9.5.3.2855 Retail ML_RUS\Keygens\Keygen-CORE\UltraISO SN-CORE.exe, , [56078d8245461b1b4e2ed09a956bc838], 
RiskWare.Tool.CK, E:\Install\OC\UltraISO Premium Edition v9.5.3.2855 Retail ML_RUS\Keygens\Keygen-ZWT\keygen.exe, , [afaeac638cffd85eb90d3dfdb54c9b65], 

[simm]

Сделал. Что дальше?

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[simm]

Сделал

Addition.txt

FRST.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3321373163-762474380-4263645077-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3321373163-762474380-4263645077-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=98388105_hao_pg
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-3321373163-762474380-4263645077-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
2015-08-28 22:29 - 2015-08-28 22:29 - 06220854 _____ C:\Users\simm\AppData\Roaming\A45FC1EBA45FC1EB.bmp
2015-08-28 22:12 - 2015-08-28 22:12 - 00003234 _____ C:\Windows\System32\Tasks\dowiloadup
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Roaming\VOPackage
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Roaming\mystartsearch
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Roaming\istartsurf
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Roaming\AnyProtectEx
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\SmartWeb
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\Kometa
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\gmsd_ru_025010072
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\gmsd_ru_005010072
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\globalUpdate
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\Crossbrowse
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\WordSurfer_1.10.0.19
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\gmsd_ru_025010072
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\gmsd_ru_005010072
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\globalUpdate
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\Crossbrowse
2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\AnyProtectEx
2015-08-27 22:17 - 2015-09-01 13:00 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-08-27 22:17 - 2015-09-01 13:00 - 00000000 __SHD C:\ProgramData\Windows
2015-08-27 21:59 - 2015-08-27 22:19 - 00000120 _____ C:\Windows\Reimage.ini
2015-08-27 21:57 - 2015-08-31 09:22 - 00000000 ____D C:\Program Files\NixSrv
2015-08-27 21:33 - 2015-08-28 10:12 - 00028984 _____ (Tencent) C:\Windows\SysWOW64\Drivers\TS888x64.sys
2015-08-27 17:53 - 2015-08-27 21:33 - 00000000 ____D C:\Users\Все пользователи\Rising
2015-08-27 17:53 - 2015-08-27 21:33 - 00000000 ____D C:\ProgramData\Rising
2015-08-27 17:53 - 2014-07-30 11:44 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\vpatch.dll
2015-08-27 17:52 - 2015-08-27 17:52 - 00000000 ____D C:\Users\Все пользователи\TXQMPC
2015-08-27 17:52 - 2015-08-27 17:52 - 00000000 ____D C:\ProgramData\TXQMPC
2015-08-27 17:51 - 2015-08-27 21:44 - 00000000 ____D C:\Users\simm\AppData\Roaming\Tencent
2015-08-27 17:51 - 2015-08-27 21:35 - 00000000 ____D C:\Users\Все пользователи\Tencent
2015-08-27 17:51 - 2015-08-27 21:35 - 00000000 ____D C:\ProgramData\Tencent
2015-08-27 17:51 - 2015-08-27 17:51 - 00087864 _____ (????) C:\Windows\system32\Drivers\TFsFltX64.sys
2015-08-27 17:51 - 2015-08-27 17:51 - 00038200 _____ (????) C:\Windows\system32\Drivers\TSSKX64.sys
2015-08-27 17:51 - 2015-08-27 17:51 - 00000000 ____D C:\Program Files\Common Files\Tencent
2015-08-27 17:39 - 2015-09-01 21:54 - 00000000 ____D C:\Program Files (x86)\SFK
2015-08-27 17:19 - 2015-08-27 17:19 - 00000000 ____D C:\Users\Public\QiYi
2015-08-27 17:08 - 2015-03-13 15:01 - 00000876 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-08-27 17:07 - 2015-08-27 17:07 - 00000000 ____D C:\Users\simm\AppData\Roaming\Browsers
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Roaming\AnyProtectEx
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Roaming\istartsurf
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Roaming\mystartsearch
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Roaming\VOPackage
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\Crossbrowse
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\globalUpdate
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\gmsd_ru_005010072
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\gmsd_ru_025010072
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\Kometa
2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\SmartWeb
C:\Users\simm\AppData\Local\Temp\2oAf3279JonC.exe
C:\Users\simm\AppData\Local\Temp\3XsV6mSpfNBj.exe
C:\Users\simm\AppData\Local\Temp\7451F26549C653FE.exe
C:\Users\simm\AppData\Local\Temp\A88C4862FB2875EF.exe
C:\Users\simm\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\simm\AppData\Local\Temp\fsd9545.exe
C:\Users\simm\AppData\Local\Temp\fsdF53.exe
C:\Users\simm\AppData\Local\Temp\IQIYIsetup_l_huayukeji@kb006.exe
C:\Users\simm\AppData\Local\Temp\lite_installer.exe
C:\Users\simm\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\simm\AppData\Local\Temp\PCMgr_AndroidServer.exe
C:\Users\simm\AppData\Local\Temp\vuupc.exe
FirewallRules: [{5DBC9DD5-E2B2-4EBE-8CFB-FB1CDFE29AB0}] => (Allow) C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
FirewallRules: [{F1500044-AD69-4415-A4B1-C6E8432C0EFB}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe
FirewallRules: [{C551915B-9A87-4D81-837F-77DDB171BE70}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe
FirewallRules: [{C4AAC762-5751-4612-AED9-820C2EAA7DFE}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{6411F02F-F16D-4A7D-A123-B7CFD1A05E41}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{5A2C37C1-EAE2-4AA1-87D3-A035236A7E01}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{863254CC-74D1-465C-ADAC-11463347A349}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{5CEFA02D-8582-4C6A-A267-8D11A810A82A}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{3E0A5E08-FE97-4BA9-9B1E-62B0ABAB7BCA}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe
FirewallRules: [{51A5BB8A-65D8-4989-A193-DB95F322ADF5}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe
FirewallRules: [{B9872427-E870-4183-99B8-E86B993937C7}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{B0CA2924-1416-4E0A-81CA-6945F453BB1A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{D07BC25E-250D-4940-9063-DD20AE3D266E}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{6477A15C-4F07-4061-8AE6-2D1562106DA8}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{493884FC-6C8C-47FE-B8E2-B8E8FE0A5152}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{0FF84782-42DF-41C6-89FE-6D357C580E94}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{7DEDDDD3-53F6-41AA-8C20-A9B95081AC26}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{2D2F03F1-39A8-4FAD-849B-FDDFDED6F67A}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{23FCAE58-6375-4D01-A3DB-311CBD96BE5E}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe
FirewallRules: [{585F779E-0746-4E90-A17E-4C8F243BDE92}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe
FirewallRules: [{25CFBB6C-2FCF-4BA1-BEAF-7EC7EC21DD89}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{B1F8BF52-A7AE-470F-A43D-560E67A76B8C}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{D97E1600-5FB3-4A22-8215-1081A08BBBD0}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{C7ACAA0D-81D2-46B4-B82C-440488EF59CE}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{63E314B9-FC98-4189-973D-E0CA938C1A66}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{E7975388-BB7E-4F89-A31B-3169D97B826E}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe
FirewallRules: [{F95B15E5-27DD-48BE-8279-77196DDBD569}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe
FirewallRules: [{6C175B11-B18F-4658-8268-40807475F5CB}] => (Allow) C:\Users\simm\AppData\Local\Temp\SOGOU_PINYIN_7.7.0.6444_6990.EXE
Task: {F9995DFA-FED4-45EE-9CE6-A5B902741D0C} - \{2EEA4EFD-1264-425A-93D9-52E4E00F0544} -> No File <==== ATTENTION
Task: {9878B516-0747-46D3-86CC-C950E4D02599} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {60594EE2-E29F-4968-BFEC-A8F55CB0A069} - \WordSurfer Auto Updater 1.10.0.19 Pending Update -> No File <==== ATTENTION
Task: {2AFC55F8-C4F2-4F62-A86C-A73F70D4E264} - \WordSurfer Auto Updater 1.10.0.19 Core -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.
  

[simm]

Сделал

Fixlog.txt

[thyrex]

Антивирус лицензионный?

[simm]

Да

[Roman_Five]

тогда обратитесь в вирлаб ЛК - помочь могут только они (полной гарантии восстановления нет).
 

[thyrex]

При обращении в вирлаб на newvirus@kaspersky.com предоставьте следующую информацию:

1. несколько зашифрованных файлов;

2. файл Readme.txt, оставленный шифровальщиком;

3. номер лицензии на установленный продукт.