зашифровано с расширением .windows10

[PingMen]

За шифровались все файлы с изображениями

CollectionLog-2016.07.06-14.17.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 9

Driver Booster 3.2

HomePageDefender

IObit Malware Fighter 3

IObit Uninstaller

Smart Defrag 4

Surfing Protection

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\homepagedefender\hpdefsrv.exe');
 QuarantineFile('c:\program files (x86)\homepagedefender\hpdefsrv.exe','');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\Дракон\AppData\Local\Temp\8795.exe', '');
 QuarantineFile('C:\Users\Дракон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Bola Soccer Star 2015.lnk', '');
 QuarantineFile('C:\Users\Дракон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\The Best Sports Games.lnk', '');
 DeleteFile('c:\program files (x86)\homepagedefender\hpdefsrv.exe','32');
 DeleteFile('C:\Windows\Tasks\Chrome Cleanup Tool logs upload retry.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "{64DD3691-86C1-4EB5-82BA-5EED7C2CFE42}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{88053F19-ECA6-4FA3-9FC6-F779D4D65FD2}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{B59C4404-C829-4B01-8DB3-FF7EB04FE47A}" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\Дракон\AppData\Local\Temp\8795.exe', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 6 июля, 2016 пользователем Sandor

[PingMen]

Удалил нежелательное ПО.Новые логи

CollectionLog-2016.07.06-16.43.zip

[Sandor]

Такое впечатление, что скрипт в AVZ не выполняли. Утилиту запускаете правой кнопкой от имени администратора?

[PingMen]

логи после выполнения скрипта

CollectionLog-2016.07.06-17.00.zip

[Sandor]

Да, вижу))

 

1.Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

2.

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[PingMen]

Re: вир [KLAN-4637396383]

 

 

Входящие

x

 

 

 

newvirus@kaspersky.com

17:02 (6 мин. назад)

 

кому: мне

 

 

 

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

Bola Soccer Star 2015.lnk,
The Best Sports Games.lnk

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.comhttp://www.viruslist.com"
 

Отчёт о работе AdwCleaner (by ToolsLib) 

Отчёт о работе  утилиты ClearLNK.

AdwCleanerS1.txt

ClearLNK-06.07.2016_17-16.log

[Sandor]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки и отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[PingMen]

отчет о работе AdwCleaner (by ToolsLib)

отчет о работе Farbar Recovery Scan Tool 

AdwCleanerC2.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2492386839-2906400686-1732784335-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File
BHO-x32: Canon Easy-WebPrint EX BHO -> {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} -> No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKLM-x32 - Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} -  No File
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\alofoboildbadlfhbeafcdmcineipchg [2016-03-27]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\bacoblgmbbmcidmflaidbhbgfkcclbkg [2016-04-05]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgnnegoaebonbmnkbgfpfohipapbihgf [2016-05-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccgdmikddjmaafgnpjlmhbjgifjphlnf [2016-05-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\cddhndoecgdimmehgpbackcljbomhnem [2016-04-05]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\eahebamiopdhefndnmappcihfajigkka [2015-12-01]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\fbppdmajnleplifecobbedmkhijdjabo [2016-04-05]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\hojolgcopcjlmbghkmpoiminomlmafbm [2016-05-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\jbobhkcilbkledlahnokhapbgjhjkhdl [2016-05-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\jhebffdmokifmibhikpancmcaigbakpl [2016-03-27]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\jlehaidnnmjjkhgbbiombcdifogolhap [2015-12-09]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpnjjlbngpejmmhgcaagljaomgnginml [2015-12-09]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\knkapnclbofjjgicpkfoagdjohlfjhpd [2016-02-07]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2016-05-08]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\lkgfemnodkdnenmfkblebnkjpckkjcae [2015-12-09]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\mpedbpkelbhcbkdaglillalioeeekbpb [2015-12-09]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhalnajmigjnpjpdbpkpgfhekbjmolhp [2016-01-12]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\nicgaccjjlngekkhnanadlfmlfdnggkm [2016-04-07]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-02]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\okehlnjpihomkdokiiafpejniofjaoom [2016-05-04]
CHR Extension: (No Name) - C:\Users\Дракон\AppData\Local\Google\Chrome\User Data\Default\Extensions\omghfjlpggmjjaagoclmmobgdodcjboh [2016-04-21]
2016-07-05 21:06 - 2016-07-05 21:06 - 03932214 _____ C:\Users\Дракон\AppData\Roaming\75CE718C75CE718C.bmp
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README9.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README8.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README7.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README6.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README5.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README4.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README3.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README2.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README10.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Дракон\Desktop\README1.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README9.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README8.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README7.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README6.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README5.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README4.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README3.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README2.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README10.txt
2016-07-05 21:05 - 2016-07-05 21:05 - 00002719 _____ C:\Users\Public\Desktop\README1.txt
2016-07-05 13:01 - 2016-07-06 14:11 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-07-05 13:01 - 2016-07-06 14:11 - 00000000 __SHD C:\ProgramData\Windows
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README9.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README8.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README7.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README6.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README5.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README4.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README3.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README2.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README10.txt
2016-07-05 13:01 - 2016-07-05 13:01 - 00002719 _____ C:\README1.txt
2016-07-06 16:49 - 2016-01-27 08:41 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-07-06 16:49 - 2016-01-27 08:41 - 00000000 ____D C:\ProgramData\ProductData
2016-07-06 16:48 - 2016-01-27 08:41 - 00000000 ____D C:\Program Files (x86)\IObit
2016-07-06 15:26 - 2016-01-27 08:41 - 00000000 ____D C:\Users\Дракон\AppData\LocalLow\IObit
2016-07-06 15:26 - 2016-01-27 08:41 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-07-06 15:26 - 2016-01-27 08:41 - 00000000 ____D C:\ProgramData\IObit
2016-07-06 11:20 - 2016-01-27 08:41 - 00000000 ____D C:\Users\Дракон\AppData\Roaming\IObit
2012-05-31 00:46 - 2012-05-31 00:46 - 0000232 _____ () C:\Users\Дракон\AppData\Roaming\del.bat
2012-10-13 22:40 - 2013-01-13 21:14 - 0099384 _____ () C:\Users\Дракон\AppData\Roaming\inst.exe
2012-10-13 22:40 - 2013-01-13 21:14 - 0007859 _____ () C:\Users\Дракон\AppData\Roaming\pcouffin.cat
2012-10-13 22:40 - 2013-01-13 21:14 - 0001167 _____ () C:\Users\Дракон\AppData\Roaming\pcouffin.inf
2012-10-13 22:40 - 2013-01-13 21:14 - 0082816 _____ (VSO Software) C:\Users\Дракон\AppData\Roaming\pcouffin.sys
Task: {2511BBC2-DD10-4B69-9C74-56AE2D7004DA} - System32\Tasks\{2AABA20C-7C61-40B3-B771-975E96EF539B} => pcalua.exe -a C:\Users\Дракон\Downloads\ACTv111.exe -d C:\Users\Дракон\Downloads
Task: {2C884291-1BE6-4B6B-80A0-828316C850A4} - System32\Tasks\{64DD3691-86C1-4EB5-82BA-5EED7C2CFE42} => pcalua.exe -a C:\Users\Дракон\AppData\Local\Temp\Temp1_win61.ru-Realtek_HD_Audio_win7.zip\Vista_Win7_R241\Setup.exe
Task: {3BE0CFC2-29C8-468D-9F07-49D2135171E9} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
Task: {5BCDD936-4EE4-43C6-A8EB-D4F9B1069089} - System32\Tasks\{99CAA9FA-5457-4830-B41B-8D32570DD82E} => pcalua.exe -a C:\Users\Дракон\Downloads\hdaudio_1.00.00.59_xp_vista_win7.exe -d C:\Users\Дракон\Desktop
Task: {6BD1B5CB-77F1-4D76-9FE4-51C7ECC4B9CE} - System32\Tasks\{2E81C6E5-7DF7-4D2B-B0A6-F96C527D175A} => C:\Users\Дракон\Downloads\32bit_Vista_Win7_Win8_R270.exe
Task: {BB73CDBB-559A-425A-908A-2F89C908E4EB} - System32\Tasks\{88053F19-ECA6-4FA3-9FC6-F779D4D65FD2} => pcalua.exe -a C:\Users\E018~1\AppData\Local\Temp\Rar$EXa0.442\SoundMAX2000B_Audio_V610X6585_Windows7\setup.exe -d C:\Users\E018~1\AppData\Local\Temp\Rar$EXa0.442\SoundMAX2000B_Audio_V610X6585_Windows7\
Task: {BF3F7C8A-B7A6-4799-B564-A18E0A5C6711} - System32\Tasks\{B59C4404-C829-4B01-8DB3-FF7EB04FE47A} => pcalua.exe -a "C:\Users\Дракон\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2KECNVGA\hdaudio_1.00.00.59_xp_vista_win7.exe" -d C:\Users\Дракон\Desktop
Task: C:\Windows\Tasks\Driver Booster SkipUAC (Дракон).job => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: C:\Windows\Tasks\RunAsStdUser Task.job => C:\Program Files (x86)\IObit\Advanced SystemCare\NoteIcon.exe C:\Program Files (x86)\IObit\Advanced SystemCare\ASCTray.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[PingMen]

Результат работы Farbar Recovery Scan Tool

Fixlog.txt

[Sandor]

Горы рекламного мусора и следы зловреда очищены. С расшифровкой, увы, не поможем.

[PingMen]

а в перспективе возможна расшифровка?

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

 

Включите Восстановление системы.