NagLV Опубликовано 22 мая, 2016 Share Опубликовано 22 мая, 2016 Доброго времени суток! Историю заражения к сожалению не знаю. Шифровка файлов выборочная,т.е. не все, но затронула как текстовые так и мультимедиа файлы. Прошу помощи в расшифровке если такая возможна. Файл протоколов подготовил. CollectionLog-2016.05.22-13.16.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 22 мая, 2016 Share Опубликовано 22 мая, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\user1\Рабочий стол\0.2868063695771216.exe',''); QuarantineFile('C:\Documents and Settings\user1\Application Data\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Documents and Settings\user1\Application Data\MyDesktop\qweeeCL.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt.sys',''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Kometa.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Оpеrа.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Главное меню\Программы\Kometa\Kometa.lnk', ''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}\rbia.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk', ''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Lоgitесh Wеbсаm Sоftwаrе.lnk', ''); QuarantineFile('C:\Documents and Settings\All Users\Рабочий стол\Lоgitесh Wеbсаm Sоftwаrе .lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Unibluе RеgistryВооstеr.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Избранное\Ссылки\Интернет.url', ''); QuarantineFile('C:\Documents and Settings\user1\Local Settings\Application Data\Yandex\browser.bat', ''); QuarantineFile('C:\opera.bat', ''); QuarantineFile('C:\Program Files\Common Files\LogiShrd\LWSPlugins\LWS\launchershortcut.bat', ''); QuarantineFile('C:\Program Files\Launcher.bat', ''); DeleteFile('C:\WINDOWS\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}t.sys','32'); DeleteFile('C:\Documents and Settings\user1\Application Data\MyDesktop\qweeeCL.exe','32'); DeleteFile('C:\Documents and Settings\user1\Application Data\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Documents and Settings\user1\Рабочий стол\0.2868063695771216.exe','32'); DeleteFile('C:\Program Files\Launcher.bat', '32'); DeleteFile('C:\Documents and Settings\user1\Local Settings\Application Data\Yandex\browser.bat', '32'); DeleteFile('C:\opera.bat', '32'); DeleteFile('C:\Program Files\Common Files\LogiShrd\LWSPlugins\LWS\launchershortcut.bat', '32'); DeleteService('{9a9b956a-1677-4d20-830c-6c34a0594e62}t'); DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}t'); DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt'); DeleteService('{6191cc23-5db4-4079-aaac-546c45b08af1}t'); DeleteService('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\0.2868063695771216.exe','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(10); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на комментарий Поделиться на другие сайты More sharing options...
NagLV Опубликовано 22 мая, 2016 Автор Share Опубликовано 22 мая, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\user1\Рабочий стол\0.2868063695771216.exe',''); QuarantineFile('C:\Documents and Settings\user1\Application Data\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Documents and Settings\user1\Application Data\MyDesktop\qweeeCL.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt.sys',''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Kometa.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Оpеrа.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Главное меню\Программы\Kometa\Kometa.lnk', ''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}\rbia.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk', ''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Lоgitесh Wеbсаm Sоftwаrе.lnk', ''); QuarantineFile('C:\Documents and Settings\All Users\Рабочий стол\Lоgitесh Wеbсаm Sоftwаrе .lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Application Data\Microsoft\Internet Explorer\Quick Launch\Unibluе RеgistryВооstеr.lnk', ''); QuarantineFile('C:\Documents and Settings\user1\Избранное\Ссылки\Интернет.url', ''); QuarantineFile('C:\Documents and Settings\user1\Local Settings\Application Data\Yandex\browser.bat', ''); QuarantineFile('C:\opera.bat', ''); QuarantineFile('C:\Program Files\Common Files\LogiShrd\LWSPlugins\LWS\launchershortcut.bat', ''); QuarantineFile('C:\Program Files\Launcher.bat', ''); DeleteFile('C:\WINDOWS\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}t.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}t.sys','32'); DeleteFile('C:\Documents and Settings\user1\Application Data\MyDesktop\qweeeCL.exe','32'); DeleteFile('C:\Documents and Settings\user1\Application Data\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Documents and Settings\user1\Рабочий стол\0.2868063695771216.exe','32'); DeleteFile('C:\Program Files\Launcher.bat', '32'); DeleteFile('C:\Documents and Settings\user1\Local Settings\Application Data\Yandex\browser.bat', '32'); DeleteFile('C:\opera.bat', '32'); DeleteFile('C:\Program Files\Common Files\LogiShrd\LWSPlugins\LWS\launchershortcut.bat', '32'); DeleteService('{9a9b956a-1677-4d20-830c-6c34a0594e62}t'); DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}t'); DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gt'); DeleteService('{6191cc23-5db4-4079-aaac-546c45b08af1}t'); DeleteService('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gt'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\0.2868063695771216.exe','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(10); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ответ: Получен неизвестный файл, он будет передан в Вирусную Лабораторию. KLAN-4315321499 Повторный файл во вложении. CollectionLog-2016.05.22-15.58.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 22 мая, 2016 Share Опубликовано 22 мая, 2016 Далее: Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
NagLV Опубликовано 22 мая, 2016 Автор Share Опубликовано 22 мая, 2016 Готово. AdwCleanerS1.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 22 мая, 2016 Share Опубликовано 22 мая, 2016 1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
NagLV Опубликовано 22 мая, 2016 Автор Share Опубликовано 22 мая, 2016 Готово. AdwCleanerC1.txt FRST.txt Shortcut.txt Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 22 мая, 2016 Share Опубликовано 22 мая, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.google.com" <======= ATTENTION SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1426589817&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1426589817&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> 80AC086D1E6BE771336481A840FF7D9C URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {105E99FF-8B9A-4492-B155-06194B9056D2} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {8A0349E9-5932-C082-03A2-591DDE006DBACE7} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=squadm&utm_campaign=install_ie&utm_content=ds&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V&ts=1426589826&type=default&q={searchTerms} BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-796845957-606747145-1801674531-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1426589770&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V StartMenuInternet: (HKLM) Opera.exe - C:\Program Files\Opera\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1426589770&from=squadm&uid=ST3250318AS_9VY7DG4VXXXX9VY7DG4V 2016-05-16 11:39 - 2016-05-16 11:39 - 02949174 _____ C:\Documents and Settings\user1\Application Data\326DAD8B326DAD8B.bmp 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README9.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README8.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README7.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README6.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README5.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README4.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README3.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README2.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README10.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\user1\Рабочий стол\README1.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt 2016-05-16 11:38 - 2016-05-16 11:38 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README9.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README8.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README7.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README6.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README5.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README4.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README3.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README2.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README10.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00002714 _____ C:\README1.txt 2016-05-16 11:09 - 2016-05-16 11:09 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows 2016-05-16 10:57 - 2016-05-16 11:38 - 00000000 ____D C:\Documents and Settings\user1\Application Data\Mipony 2016-05-16 11:38 - 2015-10-26 13:21 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\ProductData 2016-05-16 11:38 - 2015-10-26 13:21 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\IObit 2016-05-16 11:38 - 2015-07-01 14:15 - 00000000 ____D C:\Documents and Settings\user1\Application Data\MailProducts 2016-05-16 11:38 - 2015-03-17 14:39 - 00000000 ____D C:\Documents and Settings\user1\Application Data\eTranslator 2016-05-16 11:37 - 2015-10-26 13:19 - 00000000 ____D C:\Documents and Settings\user1\Application Data\MyDesktop C:\Documents and Settings\user1\Local Settings\Temp\AmigoDistrib.exe C:\Documents and Settings\user1\Local Settings\Temp\amigo_setup.exe C:\Documents and Settings\user1\Local Settings\Temp\downloader.exe C:\Documents and Settings\user1\Local Settings\Temp\KMP_3.2.0.0.exe C:\Documents and Settings\user1\Local Settings\Temp\kometa_vd.exe C:\Documents and Settings\user1\Local Settings\Temp\mailruhomesearchvbm.exe Task: C:\WINDOWS\Tasks\Update Service for VK Downloader.job => C:\Program Files\VK Downloader\kfCFztp.exe.exe Task: C:\WINDOWS\Tasks\Update Service for VK Downloader2.job => C:\Program Files\VK Downloader\kfCFztp.exe.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ярлыки C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Lоgitесh Wеbсаm Sоftwаrе.lnk C:\Documents and Settings\All Users\Рабочий стол\Lоgitесh Wеbсаm Sоftwаrе .lnk исправьте с помощью утилиты ClearLNK.Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
NagLV Опубликовано 22 мая, 2016 Автор Share Опубликовано 22 мая, 2016 Прикрепил два log файла из ClearLNK так как исправление получалось разными способами. ClearLNK-22.05.2016_17-27.log Fixlog.txt ClearLNK-22.05.2016_17-34.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 22 мая, 2016 Share Опубликовано 22 мая, 2016 Адварь и следы вымогателя удалены. С расшифровкой не поможем. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти