Поймал вирус требующий расшифровку

[Арсен Геворгян]

Пришел на почту файл от "РосПотребНадзора" с темой блокировки аккаунта. Скачал файл, но заподозрив неладное удалил его. После перезагрузки все файлы стали иметь название P5290053.JPG.id-1191046480_maxcrypt@foxmail2.com Что делать? Помогите пожалуйста

CollectionLog-2015.12.17-22.36.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[Арсен Геворгян]

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

 

Addition.txt

FRST.txt

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:D287FACF
AlternateDataStreams: C:\ProgramData\TEMP:D3A96964
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D287FACF
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D3A96964
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe
IFEO\delta babylon.exe: [Debugger] tasklist.exe
IFEO\delta2.exe: [Debugger] tasklist.exe
IFEO\deltasetup.exe: [Debugger] tasklist.exe
IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe
IFEO\rjatydimofu.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\sweetimsetup.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
HKLM\...\AppCertDlls: [x64] -> c:\program files\music toolbar\datamngr\x64\apcrtldr.dll <===== ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
Startup: C:\Users\Арсен\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lock.bmp [2015-12-15] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1391772708&from=cor&uid=ST380011A_5JVREDV3&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1391772708&from=cor&uid=ST380011A_5JVREDV3&q={searchTerms}
HKU\S-1-5-21-3649333215-1471119450-1305206796-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1391772708&from=cor&uid=ST380011A_5JVREDV3
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1391772708&from=cor&uid=ST380011A_5JVREDV3&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1391772708&from=cor&uid=ST380011A_5JVREDV3&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2001} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=1157&systemid=1&v=a11465-211&apn_uid=6541350270774363&apn_dtid=IME001&o=APN10653&apn_ptnrs=AGE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3649333215-1471119450-1305206796-1001 -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2001} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=1157&systemid=1&v=a11465-211&apn_uid=6541350270774363&apn_dtid=IME001&o=APN10653&apn_ptnrs=AGE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3649333215-1471119450-1305206796-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1391772708&from=cor&uid=ST380011A_5JVREDV3&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3649333215-1471119450-1305206796-1001 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2001} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=1157&systemid=1&v=a11465-211&apn_uid=6541350270774363&apn_dtid=IME001&o=APN10653&apn_ptnrs=AGE&q={searchTerms}
BHO: No Name -> {0307351f-b2d7-41f2-b44a-8af7d9d90a18} -> No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {0307351f-b2d7-41f2-b44a-8af7d9d90a18} -  No File
FF Extension: SaveSense - C:\Users\Арсен\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{2d7886a0-85bb-4bf2-b684-ba92b4b21d23} [2014-02-07] [not signed]
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Арсен\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[Арсен Геворгян]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:D287FACF
AlternateDataStreams: C:\ProgramData\TEMP:D3A96964
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D287FACF
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D3A96964
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe
IFEO\delta babylon.exe: [Debugger] tasklist.exe
IFEO\delta2.exe: [Debugger] tasklist.exe
IFEO\deltasetup.exe: [Debugger] tasklist.exe
IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe
IFEO\rjatydimofu.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\sweetimsetup.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
HKLM\...\AppCertDlls: [x64] -> c:\program files\music toolbar\datamngr\x64\apcrtldr.dll <===== ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
Startup: C:\Users\Арсен\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lock.bmp [2015-12-15] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1391772708&from=cor&uid=ST380011A_5JVREDV3&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1391772708&from=cor&uid=ST380011A_5JVREDV3&q={searchTerms}
HKU\S-1-5-21-3649333215-1471119450-1305206796-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1391772708&from=cor&uid=ST380011A_5JVREDV3
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1391772708&from=cor&uid=ST380011A_5JVREDV3&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1391772708&from=cor&uid=ST380011A_5JVREDV3&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2001} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=1157&systemid=1&v=a11465-211&apn_uid=6541350270774363&apn_dtid=IME001&o=APN10653&apn_ptnrs=AGE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3649333215-1471119450-1305206796-1001 -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2001} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=1157&systemid=1&v=a11465-211&apn_uid=6541350270774363&apn_dtid=IME001&o=APN10653&apn_ptnrs=AGE&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3649333215-1471119450-1305206796-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1391772708&from=cor&uid=ST380011A_5JVREDV3&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3649333215-1471119450-1305206796-1001 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2001} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=1157&systemid=1&v=a11465-211&apn_uid=6541350270774363&apn_dtid=IME001&o=APN10653&apn_ptnrs=AGE&q={searchTerms}
BHO: No Name -> {0307351f-b2d7-41f2-b44a-8af7d9d90a18} -> No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {0307351f-b2d7-41f2-b44a-8af7d9d90a18} -  No File
FF Extension: SaveSense - C:\Users\Арсен\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{2d7886a0-85bb-4bf2-b684-ba92b4b21d23} [2014-02-07] [not signed]
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Арсен\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

ClearLNK-18.12.2015_08-13.log

Fixlog.txt

[thyrex]

С расшифровкой не поможем

[Арсен Геворгян]

С расшифровкой не поможем

А по какой причине? Если я переустановлю систему, поможет?

[thyrex]

Переустановка системы не поможет вернуть файлы.

 

А по какой причине?

Техподдержка пытается помочь только обладателям действующей лицензии на продукты компании, а не сторонних антивирусов

[Арсен Геворгян]

Переустановка системы не поможет вернуть файлы.

А по какой причине?

Техподдержка пытается помочь только обладателям действующей лицензии на продукты компании, а не сторонних антивирусов

Я сегодня могу купить.

[thyrex]

Это уже решать Вам. Я ведь не спроста написал

пытается помочь

Ведь если результата не будет, Вы же меня обвините, что я вынудил купить лицензию