NagLV Опубликовано 22 мая, 2016 Опубликовано 22 мая, 2016 Доброго времени суток! Историю заражения к сожалению не знаю. Шифровка файлов выборочная,т.е. не все, но затронула как текстовые так и мультимедиа файлы. Прошу помощи в расшифровке если такая возможна. Файл протоколов подготовил. CollectionLog-2016.05.22-13.16.zip
Sandor Опубликовано 22 мая, 2016 Опубликовано 22 мая, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\user1\Рабочий стол\0.2868063695771216.exe',''); QuarantineFile('C:\Documents and Settings\user1\Application Data\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Documents and Settings\user1\Application Data\MyDesktop\qweeeCL.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt.sys',''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Kometa.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Оpеrа.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Главное меню\Программы\Kometa\Kometa.lnk', ''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}\rbia.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk', ''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Lоgitесh Wеbсаm Sоftwаrе.lnk', ''); QuarantineFile('C:\Documents and Settings\All Users\Рабочий стол\Lоgitесh Wеbсаm Sоftwаrе .lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Unibluе RеgistryВооstеr.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Избранное\Ссылки\Интернет.url', ''); QuarantineFile('C:\Documents and Settings\user1\Local Settings\Application Data\Yandex\browser.bat', ''); QuarantineFile('C:\opera.bat', ''); QuarantineFile('C:\Program Files\Common Files\LogiShrd\LWSPlugins\LWS\launchershortcut.bat', ''); QuarantineFile('C:\Program Files\Launcher.bat', ''); DeleteFile('C:\WINDOWS\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}t.sys','32'); DeleteFile('C:\Documents and Settings\user1\Application Data\MyDesktop\qweeeCL.exe','32'); DeleteFile('C:\Documents and Settings\user1\Application Data\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Documents and Settings\user1\Рабочий стол\0.2868063695771216.exe','32'); DeleteFile('C:\Program Files\Launcher.bat', '32'); DeleteFile('C:\Documents and Settings\user1\Local Settings\Application Data\Yandex\browser.bat', '32'); DeleteFile('C:\opera.bat', '32'); DeleteFile('C:\Program Files\Common Files\LogiShrd\LWSPlugins\LWS\launchershortcut.bat', '32'); DeleteService('{9a9b956a-1677-4d20-830c-6c34a0594e62}t'); DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}t'); DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt'); DeleteService('{6191cc23-5db4-4079-aaac-546c45b08af1}t'); DeleteService('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\0.2868063695771216.exe','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(10); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
NagLV Опубликовано 22 мая, 2016 Автор Опубликовано 22 мая, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\user1\Рабочий стол\0.2868063695771216.exe',''); QuarantineFile('C:\Documents and Settings\user1\Application Data\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Documents and Settings\user1\Application Data\MyDesktop\qweeeCL.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt.sys',''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Kometa.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Оpеrа.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Главное меню\Программы\Kometa\Kometa.lnk', ''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}\rbia.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk', ''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Lоgitесh Wеbсаm Sоftwаrе.lnk', ''); QuarantineFile('C:\Documents and Settings\All Users\Рабочий стол\Lоgitесh Wеbсаm Sоftwаrе .lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Unibluе RеgistryВооstеr.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Избранное\Ссылки\Интернет.url', ''); QuarantineFile('C:\Documents and Settings\user1\Local Settings\Application Data\Yandex\browser.bat', ''); QuarantineFile('C:\opera.bat', ''); QuarantineFile('C:\Program Files\Common Files\LogiShrd\LWSPlugins\LWS\launchershortcut.bat', ''); QuarantineFile('C:\Program Files\Launcher.bat', ''); DeleteFile('C:\WINDOWS\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}t.sys','32'); DeleteFile('C:\Documents and Settings\user1\Application Data\MyDesktop\qweeeCL.exe','32'); DeleteFile('C:\Documents and Settings\user1\Application Data\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Documents and Settings\user1\Рабочий стол\0.2868063695771216.exe','32'); DeleteFile('C:\Program Files\Launcher.bat', '32'); DeleteFile('C:\Documents and Settings\user1\Local Settings\Application Data\Yandex\browser.bat', '32'); DeleteFile('C:\opera.bat', '32'); DeleteFile('C:\Program Files\Common Files\LogiShrd\LWSPlugins\LWS\launchershortcut.bat', '32'); DeleteService('{9a9b956a-1677-4d20-830c-6c34a0594e62}t'); DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}t'); DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt'); DeleteService('{6191cc23-5db4-4079-aaac-546c45b08af1}t'); DeleteService('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\0.2868063695771216.exe','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(10); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ответ: Получен неизвестный файл, он будет передан в Вирусную Лабораторию. KLAN-4315321499 Повторный файл во вложении. CollectionLog-2016.05.22-15.58.zip
Sandor Опубликовано 22 мая, 2016 Опубликовано 22 мая, 2016 Далее: Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Sandor Опубликовано 22 мая, 2016 Опубликовано 22 мая, 2016 1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
NagLV Опубликовано 22 мая, 2016 Автор Опубликовано 22 мая, 2016 Готово. AdwCleanerC1.txt FRST.txt Shortcut.txt Addition.txt
Sandor Опубликовано 22 мая, 2016 Опубликовано 22 мая, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.google.com" <======= ATTENTION SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1426589817&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1426589817&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> 80AC086D1E6BE771336481A840FF7D9C URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {105E99FF-8B9A-4492-B155-06194B9056D2} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {8A0349E9-5932-C082-03A2-591DDE006DBACE7} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1426589770&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V StartMenuInternet: (HKLM) Opera.exe - C:\Program Files\Opera\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1426589770&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V 2016-05-16 11:39 - 2016-05-16 11:39 - 02949174 _____ C:\Documents and Settings\user1\Application Data\326DAD8B326DAD8B.bmp 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README9.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README8.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README7.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README6.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README5.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README4.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README3.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README2.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README10.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README1.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README9.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README8.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README7.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README6.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README5.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README4.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README3.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README2.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README10.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README1.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows 2016-05-16 10:57 - 2016-05-16 11:38 - 00000000 ____D C:\Documents and Settings\user1\Application Data\Mipony 2016-05-16 11:38 - 2015-10-26 13:21 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\ProductData 2016-05-16 11:38 - 2015-10-26 13:21 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\IObit 2016-05-16 11:38 - 2015-07-01 14:15 - 00000000 ____D C:\Documents and Settings\user1\Application Data\MailProducts 2016-05-16 11:38 - 2015-03-17 14:39 - 00000000 ____D C:\Documents and Settings\user1\Application Data\eTranslator 2016-05-16 11:37 - 2015-10-26 13:19 - 00000000 ____D C:\Documents and Settings\user1\Application Data\MyDesktop C:\Documents and Settings\user1\Local Settings\Temp\AmigoDistrib.exe C:\Documents and Settings\user1\Local Settings\Temp\amigo_setup.exe C:\Documents and Settings\user1\Local Settings\Temp\downloader.exe C:\Documents and Settings\user1\Local Settings\Temp\KMP_3.2.0.0.exe C:\Documents and Settings\user1\Local Settings\Temp\kometa_vd.exe C:\Documents and Settings\user1\Local Settings\Temp\mailruhomesearchvbm.exe Task: C:\WINDOWS\Tasks\Update Service for VK Downloader.job => C:\Program Files\VK Downloader\kfCFztp.exe.exe Task: C:\WINDOWS\Tasks\Update Service for VK Downloader2.job => C:\Program Files\VK Downloader\kfCFztp.exe.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ярлыки C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Lоgitесh Wеbсаm Sоftwаrе.lnk C:\Documents and Settings\All Users\Рабочий стол\Lоgitесh Wеbсаm Sоftwаrе .lnk исправьте с помощью утилиты ClearLNK.Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.
NagLV Опубликовано 22 мая, 2016 Автор Опубликовано 22 мая, 2016 Прикрепил два log файла из ClearLNK так как исправление получалось разными способами. ClearLNK-22.05.2016_17-27.log Fixlog.txt ClearLNK-22.05.2016_17-34.log
Sandor Опубликовано 22 мая, 2016 Опубликовано 22 мая, 2016 Адварь и следы вымогателя удалены. С расшифровкой не поможем. 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти