simm 0 Опубликовано 30 августа, 2015 Share Опубликовано 30 августа, 2015 Здравствуйте. Поймал вирус-шифровальщик. Чистил cureitом. Помогите с расшифровкой файлов!!! Прикрепляю логи и зашифрованную фотку. Заранее спасибо. CollectionLog-2015.08.31-01.28.zip 111.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 30 августа, 2015 Share Опубликовано 30 августа, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\simm\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe',''); QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe',''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-6.exe',''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5.exe',''); QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.2vV26.08\5d2d5bae-4303-4fb2-b1af-150f436ebe19-5.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.2vV26.08\5d2d5bae-4303-4fb2-b1af-150f436ebe19-1-7.exe',''); DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}'); QuarantineFile('C:\Users\simm\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk',''); QuarantineFile('C:\Users\simm\AppData\Roaming\dfibhtfe\eafaejsi.exe',''); QuarantineFile('C:\Users\simm\AppData\Local\YhlPack\ShTrust.dll',''); QuarantineFile('C:\Users\simm\AppData\Local\Kometa\kometaup.exe',''); DeleteService('QMUdisk'); DeleteService('TS888x64'); DeleteService('TSSKX64'); DeleteService('wsafd_1_10_0_19'); QuarantineFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys',''); QuarantineFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\hnsuE5E5.tmp',''); QuarantineFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\knsdE1CC.tmp',''); QuarantineFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\jnsoCDB1.tmp',''); QuarantineFile('C:\Program Files\NixSrv\NixSrv.exe',''); DeleteService('totyseku'); DeleteService('NixSrv'); DeleteService('kozeliso'); DeleteService('jimocoso'); DeleteService('globalUpdatem'); DeleteService('globalUpdate'); SetServiceStart('WindowsMangerProtect', 4); DeleteService('WindowsMangerProtect'); SetServiceStart('SSFK', 4); DeleteService('SSFK'); SetServiceStart('ExtTag', 4); DeleteService('ExtTag'); QuarantineFile('C:\ProgramData\ExtTag\Solosiltex.dll',''); QuarantineFile('C:\ProgramData\ExtTag\ExtTag.dll',''); TerminateProcessByName('c:\programdata\vwinmanprov\winmanpro.exe'); QuarantineFile('c:\programdata\vwinmanprov\winmanpro.exe',''); TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe'); QuarantineFile('c:\program files (x86)\sfk\ssfk.exe',''); TerminateProcessByName('C:\Program Files (x86)\SFK\SFKEX64.exe'); QuarantineFile('C:\Program Files (x86)\SFK\SFKEX64.exe',''); TerminateProcessByName('c:\programdata\exttag\kaystring.exe'); QuarantineFile('c:\programdata\exttag\kaystring.exe',''); TerminateProcessByName('c:\programdata\exttag\exttag.exe'); QuarantineFile('c:\programdata\exttag\exttag.exe',''); DeleteFile('c:\programdata\exttag\exttag.exe','32'); DeleteFile('c:\programdata\exttag\kaystring.exe','32'); DeleteFile('C:\Program Files (x86)\SFK\SFKEX64.exe','32'); DeleteFile('c:\program files (x86)\sfk\ssfk.exe','32'); DeleteFile('c:\programdata\vwinmanprov\winmanpro.exe','32'); DeleteFile('C:\ProgramData\ExtTag\ExtTag.dll','32'); DeleteFile('C:\ProgramData\ExtTag\Solosiltex.dll','32'); DeleteFile('C:\Program Files\NixSrv\NixSrv.exe','32'); DeleteFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\jnsoCDB1.tmp','32'); DeleteFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\knsdE1CC.tmp','32'); DeleteFile('C:\Program Files (x86)\30464336-1440662859-3537-4339-3734FFFFFFFF\hnsuE5E5.tmp','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TS888x64.sys','32'); DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32'); DeleteFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','32'); DeleteFile('C:\Program Files (x86)\Rising\RSD\popwndexe.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RSDTRAY','command'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\plugins\FileSmash\QMSoftExt.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{754DF2CE-51E8-4895-B53C-6381418B84AE}'); DeleteFile('C:\Program Files (x86)\baidu\pps.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide','command'); DeleteFile('C:\Users\simm\AppData\Local\Kometa\kometaup.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater','command'); DeleteFile('C:\Users\simm\AppData\Local\Temp\A9CF.tmp.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YhlPack','command'); DeleteFile('C:\Users\simm\AppData\Roaming\dfibhtfe\eafaejsi.exe','32'); DeleteFile('C:\Users\simm\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ESET'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YkPack'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\divgdadxxu','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UTmedia'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.2vV26.08\5d2d5bae-4303-4fb2-b1af-150f436ebe19-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.2vV26.08\5d2d5bae-4303-4fb2-b1af-150f436ebe19-5.exe','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\5d2d5bae-4303-4fb2-b1af-150f436ebe19-5.job','64'); DeleteFile('C:\Windows\Tasks\5d2d5bae-4303-4fb2-b1af-150f436ebe19-1-7.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-6.job','64'); DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-7.job','64'); DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-10_user.job','64'); DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5.job','64'); DeleteFile('C:\Windows\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5_user.job','64'); DeleteFile('C:\Windows\Tasks\Crossbrowse.job','64'); DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5.exe','32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-10.exe','32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV26.08\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-6.exe','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-10_user','64'); DeleteFile('C:\Windows\system32\Tasks\cc08a0d3-7eca-4b52-870b-d2f2ff6f8a14-5_user','64'); DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64'); DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core','64'); DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update','64'); DeleteFile('C:\Windows\system32\Tasks\{2EEA4EFD-1264-425A-93D9-52E4E00F0544}','64'); DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','32'); DeleteFile('C:\Users\simm\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Цитата Ссылка на сообщение Поделиться на другие сайты
simm 0 Опубликовано 31 августа, 2015 Автор Share Опубликовано 31 августа, 2015 (изменено) Re: Virus [KLAN-3094911549] От кого: newvirus@kaspersky.com Кому: gsu_irk@mail.ru Сегодня, 9:35 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afwЭто - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.eafaejsi.exe - Trojan.Win32.Fsysna.cffcexttag.exe - Trojan.MSIL.Agent.abdvmДетектирование файлов будет добавлено в следующее обновление.ShTrust.dll,Solosiltex.dll,ExtTag.dll,winmanpro.exe,ssfk.exe,kaystring.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.NixSrv.exe - not-a-virus:AdWare.Win32.Amonetize.bdjkSFKEX64.exe - not-a-virus:AdWare.Win64.Agent.beЭто файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdatesС уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" CollectionLog-2015.08.31-10.01.zip Изменено 31 августа, 2015 пользователем simm Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 31 августа, 2015 Share Опубликовано 31 августа, 2015 Сделайте лог полного сканирования МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
simm 0 Опубликовано 31 августа, 2015 Автор Share Опубликовано 31 августа, 2015 Сделал MBAM.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 31 августа, 2015 Share Опубликовано 31 августа, 2015 Удалите в МВАМ все, кроме Trojan.Agent.CK, E:\Install\ESET NOD32\ESET 8\TNod-1.4.2.3-final-setup.exe, , [203d69a617743303dc944f20c54028d8], PUP.Optional.OpenCandy, E:\Install\Multimedia\CD_DVD\DTLite4452-0287.exe, , [e677947b0b80ad890fc02360759027d9], PUP.RiskWare.Patcher, E:\Install\Multimedia\Photodex ProShow Producer\Photodex ProShow Producer v6.0.3410 Final Eng_Rus\patch Producer & Gold 6.0.3410 by KHG\proshow.producer.-.gold.6.0.3410-patch.exe, , [05588a8592f9360064084f70bb4605fb], RiskWare.Tool.CK, E:\Install\Multimedia\QTime.7.6.9\QTime.7.6.9\Keygen.exe, , [451858b7b0dbcb6b25248a8656aca759], PUP.HackTool.Patcher, E:\Install\Multimedia\Видео\Захват\IUVCR\Crack\.4.12.0.375-rus-crack.exe, , [134a11fedbb0c86e3b91c8408e728e72], PUP.HackTool.Patcher, E:\Install\Multimedia\Видео\Захват\IUVCR\Crack\4.12.0.375-eng-crack.exe, , [0f4ebd525932072fae1e11f728d804fc], RiskWare.Tool.CK, E:\Install\Multimedia\Видео\Захват\IUVCR\Crack\Addon.exe, , [411cd8375932a59137b0214d4cb93ec2], RiskWare.Tool.CK, E:\Install\Multimedia\Видео\Кодирование\Xilisoft Video Converter Ultimate v7.8.5 Build-20141031 Final Ml_Rus\medicine.exe, , [203dec238cff7db942d07ffb5aa7e31d], HackTool.WpaKill, E:\Install\OC\All activation Win 7\RemoveWAT.exe, , [421b729d0b802511ac0764669b66b64a], HackTool.WpaKill, E:\Install\OC\All activation Win 7\Activators\RemoveWAT.exe, , [bba2b55adab1a294753ef6d49e6358a8], HackTool.Agent, E:\Install\OC\All activation Win 7\Activators\Windows.Loader.v2.2.1\Windows Loader.exe, , [77e6d43bc7c41125a97deed1eb16af51], PUP.HackTool, E:\Install\OC\All activation Win 7\KMS\mini-KMS Activator EN\mKMSAct.exe, , [3c2115fa2467ac8adb7810af847d619f], PUP.HackTool, E:\Install\OC\All activation Win 7\KMS\mini-KMS Activator RU\mKMSAct.exe, , [bf9e0c03860569cdcc879827cc35b749], PUP.HackTool, E:\Install\OC\All activation Win 7\KMS\miniKMS by Ivn78\mini-KMS Activator EN\mKMSAct.exe, , [9cc1d7382a61aa8c95beb708ee13b947], PUP.HackTool, E:\Install\OC\All activation Win 7\KMS\miniKMS by Ivn78\mini-KMS Activator RU\mKMSAct.exe, , [1449838c414a25113a19962960a1dc24], RiskWare.Tool.CK, E:\Install\OC\All activation Win 7\KMS\SuperMini_KMS\Keygen.exe, , [e6773ad5b5d681b57d8aa9baaa56a65a], Trojan.Dropper.PGen, E:\Install\OC\UltraISO Premium Edition v9.5.3.2855 Retail ML_RUS\Keygens\Keygen-CORE\UltraISO SN-CORE.exe, , [56078d8245461b1b4e2ed09a956bc838], RiskWare.Tool.CK, E:\Install\OC\UltraISO Premium Edition v9.5.3.2855 Retail ML_RUS\Keygens\Keygen-ZWT\keygen.exe, , [afaeac638cffd85eb90d3dfdb54c9b65], Цитата Ссылка на сообщение Поделиться на другие сайты
simm 0 Опубликовано 1 сентября, 2015 Автор Share Опубликовано 1 сентября, 2015 Сделал. Что дальше? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 1 сентября, 2015 Share Опубликовано 1 сентября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
simm 0 Опубликовано 1 сентября, 2015 Автор Share Опубликовано 1 сентября, 2015 Сделал Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 1 сентября, 2015 Share Опубликовано 1 сентября, 2015 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-3321373163-762474380-4263645077-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKU\S-1-5-21-3321373163-762474380-4263645077-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=98388105_hao_pg BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-3321373163-762474380-4263645077-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml 2015-08-28 22:29 - 2015-08-28 22:29 - 06220854 _____ C:\Users\simm\AppData\Roaming\A45FC1EBA45FC1EB.bmp 2015-08-28 22:12 - 2015-08-28 22:12 - 00003234 _____ C:\Windows\System32\Tasks\dowiloadup 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Roaming\VOPackage 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Roaming\mystartsearch 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Roaming\istartsurf 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Roaming\AnyProtectEx 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\SmartWeb 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\Kometa 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\gmsd_ru_025010072 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\gmsd_ru_005010072 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\globalUpdate 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Users\simm\AppData\Local\Crossbrowse 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\WordSurfer_1.10.0.19 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\gmsd_ru_025010072 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\gmsd_ru_005010072 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\globalUpdate 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\Crossbrowse 2015-08-27 22:33 - 2015-08-27 22:33 - 00000001 _RHOT C:\Program Files (x86)\AnyProtectEx 2015-08-27 22:17 - 2015-09-01 13:00 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-08-27 22:17 - 2015-09-01 13:00 - 00000000 __SHD C:\ProgramData\Windows 2015-08-27 21:59 - 2015-08-27 22:19 - 00000120 _____ C:\Windows\Reimage.ini 2015-08-27 21:57 - 2015-08-31 09:22 - 00000000 ____D C:\Program Files\NixSrv 2015-08-27 21:33 - 2015-08-28 10:12 - 00028984 _____ (Tencent) C:\Windows\SysWOW64\Drivers\TS888x64.sys 2015-08-27 17:53 - 2015-08-27 21:33 - 00000000 ____D C:\Users\Все пользователи\Rising 2015-08-27 17:53 - 2015-08-27 21:33 - 00000000 ____D C:\ProgramData\Rising 2015-08-27 17:53 - 2014-07-30 11:44 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\vpatch.dll 2015-08-27 17:52 - 2015-08-27 17:52 - 00000000 ____D C:\Users\Все пользователи\TXQMPC 2015-08-27 17:52 - 2015-08-27 17:52 - 00000000 ____D C:\ProgramData\TXQMPC 2015-08-27 17:51 - 2015-08-27 21:44 - 00000000 ____D C:\Users\simm\AppData\Roaming\Tencent 2015-08-27 17:51 - 2015-08-27 21:35 - 00000000 ____D C:\Users\Все пользователи\Tencent 2015-08-27 17:51 - 2015-08-27 21:35 - 00000000 ____D C:\ProgramData\Tencent 2015-08-27 17:51 - 2015-08-27 17:51 - 00087864 _____ (????) C:\Windows\system32\Drivers\TFsFltX64.sys 2015-08-27 17:51 - 2015-08-27 17:51 - 00038200 _____ (????) C:\Windows\system32\Drivers\TSSKX64.sys 2015-08-27 17:51 - 2015-08-27 17:51 - 00000000 ____D C:\Program Files\Common Files\Tencent 2015-08-27 17:39 - 2015-09-01 21:54 - 00000000 ____D C:\Program Files (x86)\SFK 2015-08-27 17:19 - 2015-08-27 17:19 - 00000000 ____D C:\Users\Public\QiYi 2015-08-27 17:08 - 2015-03-13 15:01 - 00000876 _____ C:\Windows\system32\Drivers\etc\hp.bak 2015-08-27 17:07 - 2015-08-27 17:07 - 00000000 ____D C:\Users\simm\AppData\Roaming\Browsers 2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Roaming\AnyProtectEx 2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Roaming\istartsurf 2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Roaming\mystartsearch 2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Roaming\VOPackage 2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\Crossbrowse 2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\globalUpdate 2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\gmsd_ru_005010072 2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\gmsd_ru_025010072 2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\Kometa 2015-08-27 22:33 - 2015-08-27 22:33 - 0000001 _RHOT () C:\Users\simm\AppData\Local\SmartWeb C:\Users\simm\AppData\Local\Temp\2oAf3279JonC.exe C:\Users\simm\AppData\Local\Temp\3XsV6mSpfNBj.exe C:\Users\simm\AppData\Local\Temp\7451F26549C653FE.exe C:\Users\simm\AppData\Local\Temp\A88C4862FB2875EF.exe C:\Users\simm\AppData\Local\Temp\AmigoDistrib.exe C:\Users\simm\AppData\Local\Temp\fsd9545.exe C:\Users\simm\AppData\Local\Temp\fsdF53.exe C:\Users\simm\AppData\Local\Temp\IQIYIsetup_l_huayukeji@kb006.exe C:\Users\simm\AppData\Local\Temp\lite_installer.exe C:\Users\simm\AppData\Local\Temp\mailruhomesearchvbm.exe C:\Users\simm\AppData\Local\Temp\PCMgr_AndroidServer.exe C:\Users\simm\AppData\Local\Temp\vuupc.exe FirewallRules: [{5DBC9DD5-E2B2-4EBE-8CFB-FB1CDFE29AB0}] => (Allow) C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe FirewallRules: [{F1500044-AD69-4415-A4B1-C6E8432C0EFB}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe FirewallRules: [{C551915B-9A87-4D81-837F-77DDB171BE70}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe FirewallRules: [{C4AAC762-5751-4612-AED9-820C2EAA7DFE}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe FirewallRules: [{6411F02F-F16D-4A7D-A123-B7CFD1A05E41}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe FirewallRules: [{5A2C37C1-EAE2-4AA1-87D3-A035236A7E01}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe FirewallRules: [{863254CC-74D1-465C-ADAC-11463347A349}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe FirewallRules: [{5CEFA02D-8582-4C6A-A267-8D11A810A82A}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe FirewallRules: [{3E0A5E08-FE97-4BA9-9B1E-62B0ABAB7BCA}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe FirewallRules: [{51A5BB8A-65D8-4989-A193-DB95F322ADF5}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe FirewallRules: [{B9872427-E870-4183-99B8-E86B993937C7}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{B0CA2924-1416-4E0A-81CA-6945F453BB1A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{D07BC25E-250D-4940-9063-DD20AE3D266E}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe FirewallRules: [{6477A15C-4F07-4061-8AE6-2D1562106DA8}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe FirewallRules: [{493884FC-6C8C-47FE-B8E2-B8E8FE0A5152}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe FirewallRules: [{0FF84782-42DF-41C6-89FE-6D357C580E94}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe FirewallRules: [{7DEDDDD3-53F6-41AA-8C20-A9B95081AC26}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe FirewallRules: [{2D2F03F1-39A8-4FAD-849B-FDDFDED6F67A}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe FirewallRules: [{23FCAE58-6375-4D01-A3DB-311CBD96BE5E}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe FirewallRules: [{585F779E-0746-4E90-A17E-4C8F243BDE92}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe FirewallRules: [{25CFBB6C-2FCF-4BA1-BEAF-7EC7EC21DD89}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe FirewallRules: [{B1F8BF52-A7AE-470F-A43D-560E67A76B8C}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe FirewallRules: [{D97E1600-5FB3-4A22-8215-1081A08BBBD0}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe FirewallRules: [{C7ACAA0D-81D2-46B4-B82C-440488EF59CE}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe FirewallRules: [{63E314B9-FC98-4189-973D-E0CA938C1A66}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe FirewallRules: [{E7975388-BB7E-4F89-A31B-3169D97B826E}] => (Allow) C:\Users\simm\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe FirewallRules: [{F95B15E5-27DD-48BE-8279-77196DDBD569}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe FirewallRules: [{6C175B11-B18F-4658-8268-40807475F5CB}] => (Allow) C:\Users\simm\AppData\Local\Temp\SOGOU_PINYIN_7.7.0.6444_6990.EXE Task: {F9995DFA-FED4-45EE-9CE6-A5B902741D0C} - \{2EEA4EFD-1264-425A-93D9-52E4E00F0544} -> No File <==== ATTENTION Task: {9878B516-0747-46D3-86CC-C950E4D02599} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION Task: {60594EE2-E29F-4968-BFEC-A8F55CB0A069} - \WordSurfer Auto Updater 1.10.0.19 Pending Update -> No File <==== ATTENTION Task: {2AFC55F8-C4F2-4F62-A86C-A73F70D4E264} - \WordSurfer Auto Updater 1.10.0.19 Core -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как 3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
simm 0 Опубликовано 1 сентября, 2015 Автор Share Опубликовано 1 сентября, 2015 Сделал Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 1 сентября, 2015 Share Опубликовано 1 сентября, 2015 Антивирус лицензионный? Цитата Ссылка на сообщение Поделиться на другие сайты
simm 0 Опубликовано 2 сентября, 2015 Автор Share Опубликовано 2 сентября, 2015 Да Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 2 сентября, 2015 Share Опубликовано 2 сентября, 2015 тогда обратитесь в вирлаб ЛК - помочь могут только они (полной гарантии восстановления нет). Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 2 сентября, 2015 Share Опубликовано 2 сентября, 2015 При обращении в вирлаб на newvirus@kaspersky.com предоставьте следующую информацию: 1. несколько зашифрованных файлов; 2. файл Readme.txt, оставленный шифровальщиком; 3. номер лицензии на установленный продукт. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.