Зашифрованы файлы AES256

[raider.bor@mail.ru]

Здравствуйте. У меня таже проблемма.

Ноутбук проверил Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt.

Вот логи. Помогите пожалуйста.

 

 

Addition+FRST

CollectionLog-2016.01.13-15.35.zip

Addition+FRST.rar

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Поиск\appdata\roaming\windowsupdater\updater.exe','');
 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('C:\Users\Поиск\AppData\Roaming\Browsers\exe.xoferif.bat','');
 DeleteFile('C:\Users\Поиск\AppData\Roaming\Browsers\exe.xoferif.bat','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP1','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP2','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP3','32');
 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\windows\system32\Tasks\chrome5','32');
 DeleteFile('C:\windows\system32\Tasks\chrome5_logon','32');
 DeleteFile('C:\Users\Поиск\appdata\roaming\windowsupdater\updater.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[raider.bor@mail.ru]

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Поиск\appdata\roaming\windowsupdater\updater.exe','');
 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('C:\Users\Поиск\AppData\Roaming\Browsers\exe.xoferif.bat','');
 DeleteFile('C:\Users\Поиск\AppData\Roaming\Browsers\exe.xoferif.bat','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP1','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP2','32');
 DeleteFile('C:\windows\system32\Tasks\APSnotifierPP3','32');
 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\windows\system32\Tasks\chrome5','32');
 DeleteFile('C:\windows\system32\Tasks\chrome5_logon','32');
 DeleteFile('C:\Users\Поиск\appdata\roaming\windowsupdater\updater.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке



3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.


Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

 

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

а где взять номер номера KLAN?

[mike 1]

В заголовке ответного письма. Где новые логи Автологгера?

[raider.bor@mail.ru]

В заголовке ответного письма. Где новые логи Автологгера?

понял

почту тоже отправил (c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com)

пришло письмо от каспера: quarantine.zip Этот файл повреждён. вторая часть скрипта отработала с ошибкой, quarantine.zip пустой. прилагаю два фото

ClearLNK-14.01.2016_09-14.log

CollectionLog-2016.01.14-09.41.zip

[raider.bor@mail.ru]

Удалил антивирус Сezurity, Outpost Firewall pro. 

 

Попробовал собрать логи еще раз

 

Выполнил скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.

 

-прошло без ошибки

-quarantine.zip пустой

 

Еще хочу сказать, что ноутбук нормально не выключается. Может дело в этом.

После завершения работы появляется "завершение работы и настройка параметров системы".Но не зависает.

В безопасном режиме перегружается нормально. Все не системные процессы отключены в автозагрузке.

[Sandor]

Для того, чтобы выполнить указанный скрипт, не нужно запускать автологгер. Вот инструкция.

Но повторять уже не нужно.

 

Подготовьте лог сканирования MBAM.

[raider.bor@mail.ru]

Все равно quarantine.zip пустой. На newvirus@kaspersky.com отсылать нечего.

Лог Mbam сразу выложу

[raider.bor@mail.ru]

Все равно quarantine.zip пустой. На newvirus@kaspersky.com отсылать нечего.

Лог Mbam сразу выложу

подскажите что мне делать с quarantine.zip

mbam.txt

[Sandor]

 

 

что мне делать с quarantine.zip

Раз карантин пустой, то и делать ничего не нужно.

 

Удалите все, найденное MBAM.

 

Затем:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[raider.bor@mail.ru]

найденное удалил, вот отчет

извиняюсь в предыдущем отчете поставил галочку на параметре "90 Days Files"

отсканировал  по новому

архив 5 без параметра  "90 Days Files"

4.rar

5.rar

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

IObit Unlocker

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3829145886-4170465736-3822527919-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3829145886-4170465736-3822527919-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: No Name - C:\Program Files\BetterSurf\BetterSurfPlus\ff [not found]
FF Extension: No Name - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha246\ff [not found]
FF Extension: No Name - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta261\ff [not found]
FF Extension: No Name - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha451\ff [not found]
FF Extension: No Name - C:\Program Files\MediaWatchV1\MediaWatchV1home880\ff [not found]
FF Extension: No Name - C:\Users\Поиск\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\iobitascsurfingprotection@iobit.com [not found]
CHR Plugin: (Conduit Chrome Plugin) - C:\Users\Поиск\AppData\Local\Google\Chrome\User Data\Default\Extensions\ikloigadafpfgepigfclhbfehilnljkg\10.11.21.5_0\plugins/ConduitChromeApiPlugin.dll => No File
CHR Plugin: (Conduit Radio Plugin) - C:\Users\Поиск\AppData\Local\Google\Chrome\User Data\Default\Extensions\ikloigadafpfgepigfclhbfehilnljkg\10.11.21.5_0\plugins/np-cwmp.dll => No File
2016-01-09 19:03 - 2016-01-13 12:51 - 00000000 ____D C:\Users\Поиск\AppData\Roaming\OdnUqnxVqtAcmfpq4n
2016-01-09 17:39 - 2016-01-09 17:40 - 00000000 ____D C:\Users\Поиск\AppData\Roaming\Mobogenie
2016-01-09 17:39 - 2016-01-09 17:39 - 00000000 ____D C:\Users\Поиск\mobogenieP2sp
2016-01-09 16:49 - 2016-01-14 08:25 - 00000000 ____D C:\Users\Поиск\AppData\Roaming\WindowsUpdater
2016-01-09 16:48 - 2016-01-09 17:59 - 00000000 ____D C:\Users\Поиск\AppData\LocalLow\Unity
2016-01-09 16:48 - 2016-01-09 17:59 - 00000000 ____D C:\Users\Поиск\AppData\Local\Unity
2016-01-09 16:48 - 2016-01-09 16:48 - 00000000 ____D C:\Users\Поиск\AppData\Roaming\MailProducts
2016-01-12 11:36 - 2015-01-20 22:27 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-01-12 11:36 - 2015-01-20 22:27 - 00000000 ____D C:\ProgramData\IObit
2016-01-12 11:36 - 2015-01-20 22:27 - 00000000 ____D C:\Program Files\IObit
2016-01-09 18:00 - 2013-11-16 21:00 - 00000000 ____D C:\Users\Поиск\Documents\Mobogenie
2016-01-09 17:59 - 2015-05-06 15:10 - 00000000 ____D C:\Users\Поиск\AppData\Local\Amigo
C:\Users\Поиск\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Поиск\AppData\Local\Temp\DPInstx64.exe
C:\Users\Поиск\AppData\Local\Temp\DPInstx86.exe
C:\Users\Поиск\AppData\Local\Temp\DPInst_Monx64.exe
C:\Users\Поиск\AppData\Local\Temp\DPInst_Monx86.exe
C:\Users\Поиск\AppData\Local\Temp\dskinengine.dll
C:\Users\Поиск\AppData\Local\Temp\exereader.exe
C:\Users\Поиск\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
C:\Users\Поиск\AppData\Local\Temp\hcv_mailruhomesearch.exe
C:\Users\Поиск\AppData\Local\Temp\InstHelp.dll
C:\Users\Поиск\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Поиск\AppData\Local\Temp\MobogenieSetup.exe
C:\Users\Поиск\AppData\Local\Temp\op_install.dll
C:\Users\Поиск\AppData\Local\Temp\OS_Detect.exe
C:\Users\Поиск\AppData\Local\Temp\OutpostProInstall.exe
C:\Users\Поиск\AppData\Local\Temp\OutpostProInstall_x64.exe
C:\Users\Поиск\AppData\Local\Temp\QQPCMgr_Setup.exe
C:\Users\Поиск\AppData\Local\Temp\runprog.exe
C:\Users\Поиск\AppData\Local\Temp\sender.exe
C:\Users\Поиск\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Поиск\AppData\Local\Temp\UmmyVideoDownloader.exe
C:\Users\Поиск\AppData\Local\Temp\Uninstall.exe
C:\Users\Поиск\AppData\Local\Temp\w7_gui.dll
C:\Users\Поиск\AppData\Local\Temp\xp_gui.dll
C:\Users\Поиск\AppData\Local\Temp\YandexWorking.exe
C:\Users\Поиск\AppData\Local\Temp\yupdate-exec-yabrowser.exe
Task: {277E7D9B-B636-4C4C-9FD4-017354F690A7} - \APSnotifierPP3 -> No File <==== ATTENTION
Task: {49EB9408-5F26-427F-9119-D1E7010FCC08} - \APSnotifierPP2 -> No File <==== ATTENTION
Task: {524EDD10-3ED6-4898-99F3-233FE02B772C} - \advSRS4 -> No File <==== ATTENTION
Task: {61122169-DA76-4322-978C-2BD79588E1EA} - \APSnotifierPP1 -> No File <==== ATTENTION
Task: {82B6A7AE-4CD6-4978-96CE-AE748F0AA26E} - \{EFC473F0-116B-4F2E-BB55-8032E61397AD} -> No File <==== ATTENTION
Task: {A3896491-88AC-463A-9601-5BE6B8AE1CC7} - \chrome5 -> No File <==== ATTENTION
Task: {DCAAC1FC-33E9-4F52-BE5F-686F329976BB} - \chrome5_logon -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Поиск\Local Settings:wa
AlternateDataStreams: C:\Users\Поиск\AppData\Local:wa
AlternateDataStreams: C:\Users\Поиск\AppData\Local\Application Data:wa
FirewallRules: [{65DB7A01-8A4F-42CE-8165-B3DF84C79A65}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe
FirewallRules: [{2E9E2999-69B2-4AED-A339-C31E686182BD}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

[raider.bor@mail.ru]

IObit Unlocker удалил

Fixlog.txt

[thyrex]

С расшифровкой не поможем

[raider.bor@mail.ru]

Спасибо за попытку