Файлы зашифрованы email-hontekilla@aol.com.ver-CL 1.1.0.0.id-LMMNNNOOPPPQQRRSSSSTTUUVVWWWWWXXYYZZ-30.08.2015 21@35@235658282.randomname-ABBCCDDEEFFFFF

[bigalex 0]

Не открываются файлы фото. Зашифровано под именем : email-hontekilla@aol.com.ver-CL 1.1.0.0.id-LMMNNNOOPPPQQRRSSSSTTUUVVWWWWWXXYYZZ-30.08.2015 21@35@235658282.randomname-ABBCCDDEEFFFFFGGHHIIIJJJJKKKLL.MNN. Вкладываю файл протокола :

 

CollectionLog-2016.01.22-01.52.zip

[thyrex 1 411]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Александр\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.xoferif.bat','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Users\Александр\AppData\Local\Kometa\kometaup.exe','');
 DeleteFile('C:\Users\Александр\AppData\Local\Kometa\kometaup.exe','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xujkmmuagm','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KRB Updater Utility','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\elcwwfkqde','command');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.xoferif.bat','32');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\71727400-8B72-4186-ABFB-E7FE185159B0','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\23982DEE-9B74-457A-A2A9-753414ED6BF6','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Users\Александр\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\SafeBrowser','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[bigalex 0]

Без изменения. Отчет о работе прикрепил.

 

ClearLNK-23.01.2016_01-27.log

[mike 1 1 044]

Новые логи автологгера где?

[bigalex 0]

Здравствуйте, выполнил скрип.

Выполнил проверку повторно.

Обновленный файл логов.

CollectionLog-2016.01.23-03.19.zip

[thyrex 1 411]

Сделайте лог полного сканирования МВАМ

[bigalex 0]

пересылаю лог полного сканирования МВАМ

Можно удалить данные угрозы?

лог.txt

[thyrex 1 411]

Удаляйте

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[bigalex 0]

Произвел сканирование прогой Farbar Recovery Scan Tool. Пересылаю отчет.

отчеты.zip

[thyrex 1 411]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [NPSStartup] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1330076699-3526488666-461608263-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=98016256_hao_pg
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1330076699-3526488666-461608263-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR NewTab: DFLTUSER -> "chrome-extension://gndaciceccgapjhpniecknjlmmlanaem/visual-bookmarks.html"
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Smart Browser) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-07-08]
S2 QQPCRTP; "C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QQPCRtp.exe" -r [X]
S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys [X]
S1 TsDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TsDefenseBT64.sys [X]
2015-08-30 21:35 - 2015-08-30 21:35 - 0000065 _____ () C:\Program Files (x86)\ZMYLHEJKDN.SKK
Task: {4B8182CF-C107-4E06-86EC-EE90A142F1A8} - \Microsoft\Windows\71727400-8B72-4186-ABFB-E7FE185159B0 -> No File <==== ATTENTION
Task: {7303A61E-5274-43C8-B5E5-945D3F662530} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {B25988E3-DCDC-4D9B-85FF-9603D772B039} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {B34E94E5-DD52-4EBF-A23B-48FBB2B6926F} - \SafeBrowser -> No File <==== ATTENTION
Task: {BB2635DF-FC21-41A0-A5C6-31F6434B3CF0} - \extsetup -> No File <==== ATTENTION
Task: {CDE3DF34-4E97-46DA-B846-0BE635115508} - \Microsoft\Windows\23982DEE-9B74-457A-A2A9-753414ED6BF6 -> No File <==== ATTENTION
Task: {E77AD807-BD94-4BB2-AA7D-77898EA387D7} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Pirates.lnk
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D
AlternateDataStreams: C:\ProgramData\TEMP:D282699C
AlternateDataStreams: C:\Users\Все пользователи\TEMP:58A5270D
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D282699C
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[bigalex 0]

Сделал всё согласно Вашей инструкции. Высылаю лог.

Fixlog.txt

[thyrex 1 411]

С расшифровкой не поможем