Центр Опубликовано 11 июля, 2016 Share Опубликовано 11 июля, 2016 Здравствуйте Скачали письмо от "департамента досудебного разбирательства" на компьютер. И стали открывать его. Результат все документы зашифрованы в таком виде email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0.u.id-CCDEGHHHIJJKLLLMNOPPQQRSTTUUUVWWXYYY-11.07.2016 8@03@339909212@@@@@461D-4B6A.randomname-DEFGHIIJKLMMMNOOPQQQRSSTUVVVWX.YZZ.cbf Просьба помочь. Письмо сохранилось. CollectionLog-2016.07.11-10.11.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 11 июля, 2016 Share Опубликовано 11 июля, 2016 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Амиго Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('c:\users\1\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\users\1\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Users\1\AppData\Local\SystemDir\nethost.exe', ''); QuarantineFile('C:\Users\1\AppData\Local\SmartWeb\SmartWebHelper.exe', ''); QuarantineFile('C:\Users\1\appdata\roaming\daemon2.exe', ''); QuarantineFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{E5FA39C5-9332-4203-8DDE-096F70524C86}" /F', 0, 15000, true); DeleteFile('C:\Users\1\AppData\Local\SystemDir\nethost.exe', '32'); DeleteFile('C:\Users\1\AppData\Local\SmartWeb\SmartWebHelper.exe', '32'); DeleteFile('C:\Users\1\appdata\roaming\daemon2.exe', '32'); DeleteFileMask('c:\users\1\appdata\local\systemdir', '*', true); DeleteFileMask('c:\users\1\appdata\local\smartweb', '*', true); DeleteDirectory('c:\users\1\appdata\local\systemdir'); DeleteDirectory('c:\users\1\appdata\local\smartweb'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sowlbrmzbd'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cfivfcieea'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Центр Опубликовано 11 июля, 2016 Автор Share Опубликовано 11 июля, 2016 (изменено) Письмо отправили по адресу newvirus@kaspersky.com. Вот ответ. KLAN-4665061348 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.daemon2.exe - not-a-virus:WebToolbar.Win32.Neobar.fЭто - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.Вoйти в Интeрнeт.lnk,bcqr00007.dat,bcqr00008.datПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского Отчёт о работе в виде файла прикладываем. Логи повторяем. ClearLNK-11.07.2016_11-13.log Изменено 11 июля, 2016 пользователем Центр Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 11 июля, 2016 Share Опубликовано 11 июля, 2016 Жду повторный лог. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Центр Опубликовано 11 июля, 2016 Автор Share Опубликовано 11 июля, 2016 Новые логи CollectionLog-2016.07.11-11.27.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 11 июля, 2016 Share Опубликовано 11 июля, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Центр Опубликовано 11 июля, 2016 Автор Share Опубликовано 11 июля, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. прикрепляем файлы. Addition.txt Shortcut.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 11 июля, 2016 Share Опубликовано 11 июля, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicyUsers\S-1-5-21-4244560242-1553555424-2078822454-1002\User: Restriction <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION GroupPolicyScripts\User: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-4244560242-1553555424-2078822454-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKU\S-1-5-21-4244560242-1553555424-2078822454-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms} SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://tbsearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=ru_RU SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&ts=1427804361&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1427804355&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms} SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {50751726-B10B-4FA6-AA36-63871AF0BCDD} URL = hxxp://rusearcher.com/search.php?us=searcher&pcid=026F243D-774F-436F-830B-891B673E762D&pid=41&query={searchTerms}&sc=ie SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&ts=1427804361&type=default&q={searchTerms} BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\1\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF NewTab: yafd:tabs FF user.js: detected! => C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\user.js [2015-11-11] FF Extension: Антимат - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\extensions\helper@helper [2016-05-13] [not signed] FF Extension: Домашняя страница Mail.Ru - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\Extensions\homepage@mail.ru [2016-01-27] FF Extension: Поиск@Mail.Ru - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\Extensions\search@mail.ru [2016-01-19] FF Extension: Советник Яндекс.Маркета - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\extensions\sovetnik@metabar.ru.xpi [2016-07-05] CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\eioddfaepdoeifbhjphfefgipcjcdieo [2016-05-23] CHR Extension: (Советник Яндекс.Маркета) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdjdjkkjoiomafnihnobkinnfjnnlhdg [2016-07-11] CHR Extension: (Стартовая — Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-05-06] CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2016-05-23] CHR Extension: (Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdeldjolamfbcgnndjmjjiinnhbnbnla [2016-05-10] CHR Extension: (\) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmjindpbjjflhaojplclpcjfoaepgnhm [2015-12-29] CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2016-05-23] OPR Extension: (Advertising block) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-05-13] C:\Users\1\AppData\Local\Temp\0ofj0yuSSOCe.exe C:\Users\1\AppData\Local\Temp\2AAC3B71-B6DB-296E-AED9-BB62CC440E7A.exe C:\Users\1\AppData\Local\Temp\2JWVNNfUehLC.exe C:\Users\1\AppData\Local\Temp\2kUAPf5SPM9D.exe C:\Users\1\AppData\Local\Temp\34D55530-8111-7E4E-03F3-CCDB9808EB44.dll C:\Users\1\AppData\Local\Temp\34D55530-8111-7E4E-03F3-CCDB9808EB44.exe C:\Users\1\AppData\Local\Temp\5ZxmEYa65PHu.exe C:\Users\1\AppData\Local\Temp\6D482BB3-F5BA-416B-8644-100DFCFAE25D.exe C:\Users\1\AppData\Local\Temp\8A9E4113-61E2-49A8-8CDA-FB1416297AF1.exe C:\Users\1\AppData\Local\Temp\8BGvaPVly9Vo.exe C:\Users\1\AppData\Local\Temp\9C048C59-5A9C-4D89-81A9-0E1D4C684DF1.exe C:\Users\1\AppData\Local\Temp\ammyy.admin.v3.5.05.06.2015.zip.exe C:\Users\1\AppData\Local\Temp\AskSLib.dll C:\Users\1\AppData\Local\Temp\BaGGchKtxtv6.exe C:\Users\1\AppData\Local\Temp\BASSMOD.DLL C:\Users\1\AppData\Local\Temp\BZREc3xxRKrz.exe C:\Users\1\AppData\Local\Temp\carambis_driver_updater_18f85ad9c8c290a78acf4484aae6ab9df220cc41.exe C:\Users\1\AppData\Local\Temp\ci1NIRV4lbzn.exe C:\Users\1\AppData\Local\Temp\downloader.exe C:\Users\1\AppData\Local\Temp\DseShExt-x86.dll C:\Users\1\AppData\Local\Temp\ePh5IgW5Omlb.exe C:\Users\1\AppData\Local\Temp\F6DC384E-EE3E-4577-9E94-0359C44F339A.exe C:\Users\1\AppData\Local\Temp\fast-torrent-search.exe C:\Users\1\AppData\Local\Temp\FFC2k7U.exe C:\Users\1\AppData\Local\Temp\fxf7183ZY6DN.exe C:\Users\1\AppData\Local\Temp\GGp7ACFYXenO.exe C:\Users\1\AppData\Local\Temp\HamsterPDFReader-update.exe C:\Users\1\AppData\Local\Temp\hhABk5mclVIC.exe C:\Users\1\AppData\Local\Temp\ICReinstall_cardrecovery.exe C:\Users\1\AppData\Local\Temp\iobitdownloader_installspro.exe C:\Users\1\AppData\Local\Temp\iv_uninstall.exe C:\Users\1\AppData\Local\Temp\jna24027429969366050.dll C:\Users\1\AppData\Local\Temp\jre-8u65-windows-au.exe C:\Users\1\AppData\Local\Temp\JUrbDP4JBGHN.exe C:\Users\1\AppData\Local\Temp\kometa_vd.exe C:\Users\1\AppData\Local\Temp\L6XOqcnHxrm4.exe C:\Users\1\AppData\Local\Temp\LENOVOSHAREIT17-9.EXE C:\Users\1\AppData\Local\Temp\magentsetup.exe C:\Users\1\AppData\Local\Temp\MailRuUpdater.exe C:\Users\1\AppData\Local\Temp\NMIf10jWb1J9.exe C:\Users\1\AppData\Local\Temp\nss8465.tmp.exe C:\Users\1\AppData\Local\Temp\O2k3PSP3U.exe C:\Users\1\AppData\Local\Temp\opera_installer.exe C:\Users\1\AppData\Local\Temp\pmMEFsymD9xT.exe C:\Users\1\AppData\Local\Temp\qweee.exe C:\Users\1\AppData\Local\Temp\S6wAKvMrPUEa.exe C:\Users\1\AppData\Local\Temp\Samsung_MonSetup.exe C:\Users\1\AppData\Local\Temp\SDShelEx-win32.dll C:\Users\1\AppData\Local\Temp\sender.exe C:\Users\1\AppData\Local\Temp\Setup Incl Crack__12407_il212123.exe C:\Users\1\AppData\Local\Temp\Setup-yabrowser.exe C:\Users\1\AppData\Local\Temp\SETUP.EXE C:\Users\1\AppData\Local\Temp\SpOrder.dll C:\Users\1\AppData\Local\Temp\SZNVYMShqc3l.exe C:\Users\1\AppData\Local\Temp\ULfeAq82KUpr.exe C:\Users\1\AppData\Local\Temp\uLTNHyuKNh61.exe C:\Users\1\AppData\Local\Temp\uninst.exe C:\Users\1\AppData\Local\Temp\Uninstall.exe C:\Users\1\AppData\Local\Temp\uUJmHGQxdAKq.exe C:\Users\1\AppData\Local\Temp\WVJCJKezVRef.exe C:\Users\1\AppData\Local\Temp\xs3CA6btdfpO.exe C:\Users\1\AppData\Local\Temp\XWjjMwEJddqi.exe C:\Users\1\AppData\Local\Temp\YandexWorking.exe C:\Users\1\AppData\Local\Temp\yQ3erTajkCQP.exe C:\Users\1\AppData\Local\Temp\yupdate-exec-yabrowser.exe C:\Users\1\AppData\Local\Temp\ZaxarSetup.4.001.33.exe C:\Users\1\AppData\Local\Temp\_is9280.exe C:\Users\1\AppData\Local\Temp\{28608B53-16A0-4779-8188-E79E8CEAF903}-43.0.2357.124_chrome_installer.exe C:\Users\1\AppData\Local\Temp\{5671A736-2B5E-4F1C-A0B5-D29AECA8BA26}-43.0.2357.130_chrome_installer.exe C:\Users\1\AppData\Local\Temp\{80A26B34-A74C-4D0B-9406-0BE7CE61F8C3}-42.0.2311.90_41.0.2272.118_chrome_updater.exe C:\Users\1\AppData\Local\Temp\{8182A616-CF28-4F2A-BEAB-CDC5C6D082B6}.exe C:\Users\1\AppData\Local\Temp\{FC090518-9A2E-4488-A2F1-6E1DA286EC0B}.EXE Task: {1AED7A05-18E5-4E97-A672-B40550530D2F} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: {48991224-52AD-4653-AEA9-AAA4A7E96AD4} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: {688CC7CF-711B-4B9B-A9FE-E6285099FD65} - System32\Tasks\Driver Booster SkipUAC (1) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe Task: {A2DA2C75-BA52-4217-8EFD-E11A0FB85835} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachine => C:\Users\1\AppData\Roaming\Microsoft\Video\rizotto.exe [2016-05-13] () <==== ATTENTION Task: {D249FAC0-71AE-4415-836D-2668565592F2} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Центр Опубликовано 11 июля, 2016 Автор Share Опубликовано 11 июля, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicyUsers\S-1-5-21-4244560242-1553555424-2078822454-1002\User: Restriction <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION GroupPolicyScripts\User: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-4244560242-1553555424-2078822454-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKU\S-1-5-21-4244560242-1553555424-2078822454-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms} SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://tbsearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=ru_RU SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&ts=1427804361&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1427804355&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms} SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {50751726-B10B-4FA6-AA36-63871AF0BCDD} URL = hxxp://rusearcher.com/search.php?us=searcher&pcid=026F243D-774F-436F-830B-891B673E762D&pid=41&query={searchTerms}&sc=ie SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&ts=1427804361&type=default&q={searchTerms} BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\1\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF NewTab: yafd:tabs FF user.js: detected! => C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\user.js [2015-11-11] FF Extension: Антимат - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\extensions\helper@helper [2016-05-13] [not signed] FF Extension: Домашняя страница Mail.Ru - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\Extensions\homepage@mail.ru [2016-01-27] FF Extension: Поиск@Mail.Ru - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\Extensions\search@mail.ru [2016-01-19] FF Extension: Советник Яндекс.Маркета - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\extensions\sovetnik@metabar.ru.xpi [2016-07-05] CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\eioddfaepdoeifbhjphfefgipcjcdieo [2016-05-23] CHR Extension: (Советник Яндекс.Маркета) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdjdjkkjoiomafnihnobkinnfjnnlhdg [2016-07-11] CHR Extension: (Стартовая — Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-05-06] CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2016-05-23] CHR Extension: (Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdeldjolamfbcgnndjmjjiinnhbnbnla [2016-05-10] CHR Extension: (\) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmjindpbjjflhaojplclpcjfoaepgnhm [2015-12-29] CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2016-05-23] OPR Extension: (Advertising block) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-05-13] C:\Users\1\AppData\Local\Temp\0ofj0yuSSOCe.exe C:\Users\1\AppData\Local\Temp\2AAC3B71-B6DB-296E-AED9-BB62CC440E7A.exe C:\Users\1\AppData\Local\Temp\2JWVNNfUehLC.exe C:\Users\1\AppData\Local\Temp\2kUAPf5SPM9D.exe C:\Users\1\AppData\Local\Temp\34D55530-8111-7E4E-03F3-CCDB9808EB44.dll C:\Users\1\AppData\Local\Temp\34D55530-8111-7E4E-03F3-CCDB9808EB44.exe C:\Users\1\AppData\Local\Temp\5ZxmEYa65PHu.exe C:\Users\1\AppData\Local\Temp\6D482BB3-F5BA-416B-8644-100DFCFAE25D.exe C:\Users\1\AppData\Local\Temp\8A9E4113-61E2-49A8-8CDA-FB1416297AF1.exe C:\Users\1\AppData\Local\Temp\8BGvaPVly9Vo.exe C:\Users\1\AppData\Local\Temp\9C048C59-5A9C-4D89-81A9-0E1D4C684DF1.exe C:\Users\1\AppData\Local\Temp\ammyy.admin.v3.5.05.06.2015.zip.exe C:\Users\1\AppData\Local\Temp\AskSLib.dll C:\Users\1\AppData\Local\Temp\BaGGchKtxtv6.exe C:\Users\1\AppData\Local\Temp\BASSMOD.DLL C:\Users\1\AppData\Local\Temp\BZREc3xxRKrz.exe C:\Users\1\AppData\Local\Temp\carambis_driver_updater_18f85ad9c8c290a78acf4484aae6ab9df220cc41.exe C:\Users\1\AppData\Local\Temp\ci1NIRV4lbzn.exe C:\Users\1\AppData\Local\Temp\downloader.exe C:\Users\1\AppData\Local\Temp\DseShExt-x86.dll C:\Users\1\AppData\Local\Temp\ePh5IgW5Omlb.exe C:\Users\1\AppData\Local\Temp\F6DC384E-EE3E-4577-9E94-0359C44F339A.exe C:\Users\1\AppData\Local\Temp\fast-torrent-search.exe C:\Users\1\AppData\Local\Temp\FFC2k7U.exe C:\Users\1\AppData\Local\Temp\fxf7183ZY6DN.exe C:\Users\1\AppData\Local\Temp\GGp7ACFYXenO.exe C:\Users\1\AppData\Local\Temp\HamsterPDFReader-update.exe C:\Users\1\AppData\Local\Temp\hhABk5mclVIC.exe C:\Users\1\AppData\Local\Temp\ICReinstall_cardrecovery.exe C:\Users\1\AppData\Local\Temp\iobitdownloader_installspro.exe C:\Users\1\AppData\Local\Temp\iv_uninstall.exe C:\Users\1\AppData\Local\Temp\jna24027429969366050.dll C:\Users\1\AppData\Local\Temp\jre-8u65-windows-au.exe C:\Users\1\AppData\Local\Temp\JUrbDP4JBGHN.exe C:\Users\1\AppData\Local\Temp\kometa_vd.exe C:\Users\1\AppData\Local\Temp\L6XOqcnHxrm4.exe C:\Users\1\AppData\Local\Temp\LENOVOSHAREIT17-9.EXE C:\Users\1\AppData\Local\Temp\magentsetup.exe C:\Users\1\AppData\Local\Temp\MailRuUpdater.exe C:\Users\1\AppData\Local\Temp\NMIf10jWb1J9.exe C:\Users\1\AppData\Local\Temp\nss8465.tmp.exe C:\Users\1\AppData\Local\Temp\O2k3PSP3U.exe C:\Users\1\AppData\Local\Temp\opera_installer.exe C:\Users\1\AppData\Local\Temp\pmMEFsymD9xT.exe C:\Users\1\AppData\Local\Temp\qweee.exe C:\Users\1\AppData\Local\Temp\S6wAKvMrPUEa.exe C:\Users\1\AppData\Local\Temp\Samsung_MonSetup.exe C:\Users\1\AppData\Local\Temp\SDShelEx-win32.dll C:\Users\1\AppData\Local\Temp\sender.exe C:\Users\1\AppData\Local\Temp\Setup Incl Crack__12407_il212123.exe C:\Users\1\AppData\Local\Temp\Setup-yabrowser.exe C:\Users\1\AppData\Local\Temp\SETUP.EXE C:\Users\1\AppData\Local\Temp\SpOrder.dll C:\Users\1\AppData\Local\Temp\SZNVYMShqc3l.exe C:\Users\1\AppData\Local\Temp\ULfeAq82KUpr.exe C:\Users\1\AppData\Local\Temp\uLTNHyuKNh61.exe C:\Users\1\AppData\Local\Temp\uninst.exe C:\Users\1\AppData\Local\Temp\Uninstall.exe C:\Users\1\AppData\Local\Temp\uUJmHGQxdAKq.exe C:\Users\1\AppData\Local\Temp\WVJCJKezVRef.exe C:\Users\1\AppData\Local\Temp\xs3CA6btdfpO.exe C:\Users\1\AppData\Local\Temp\XWjjMwEJddqi.exe C:\Users\1\AppData\Local\Temp\YandexWorking.exe C:\Users\1\AppData\Local\Temp\yQ3erTajkCQP.exe C:\Users\1\AppData\Local\Temp\yupdate-exec-yabrowser.exe C:\Users\1\AppData\Local\Temp\ZaxarSetup.4.001.33.exe C:\Users\1\AppData\Local\Temp\_is9280.exe C:\Users\1\AppData\Local\Temp\{28608B53-16A0-4779-8188-E79E8CEAF903}-43.0.2357.124_chrome_installer.exe C:\Users\1\AppData\Local\Temp\{5671A736-2B5E-4F1C-A0B5-D29AECA8BA26}-43.0.2357.130_chrome_installer.exe C:\Users\1\AppData\Local\Temp\{80A26B34-A74C-4D0B-9406-0BE7CE61F8C3}-42.0.2311.90_41.0.2272.118_chrome_updater.exe C:\Users\1\AppData\Local\Temp\{8182A616-CF28-4F2A-BEAB-CDC5C6D082B6}.exe C:\Users\1\AppData\Local\Temp\{FC090518-9A2E-4488-A2F1-6E1DA286EC0B}.EXE Task: {1AED7A05-18E5-4E97-A672-B40550530D2F} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: {48991224-52AD-4653-AEA9-AAA4A7E96AD4} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: {688CC7CF-711B-4B9B-A9FE-E6285099FD65} - System32\Tasks\Driver Booster SkipUAC (1) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe Task: {A2DA2C75-BA52-4217-8EFD-E11A0FB85835} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachine => C:\Users\1\AppData\Roaming\Microsoft\Video\rizotto.exe [2016-05-13] () <==== ATTENTION Task: {D249FAC0-71AE-4415-836D-2668565592F2} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. прикрепляем файл Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 11 июля, 2016 Share Опубликовано 11 июля, 2016 Файл C:\Program Files\YMIXRHAGAD.UKX удалите вручную. Адварь очищена. При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) - версия устарела. Обновите до KES 10. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Центр Опубликовано 11 июля, 2016 Автор Share Опубликовано 11 июля, 2016 Файл C:\Program Files\YMIXRHAGAD.UKX удалите вручную. Адварь очищена. При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) - версия устарела. Обновите до KES 10. подскажите какие файлы могут оказаться полезными для вирусной лаборатории. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 11 июля, 2016 Share Опубликовано 11 июля, 2016 Сообщение из почты и парочка небольших зашифрованных файлов, упакованных в архив. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 11 июля, 2016 Share Опубликовано 11 июля, 2016 Ответил в ЛС. Ссылка на комментарий Поделиться на другие сайты More sharing options...
SeregaDSO Опубликовано 12 июля, 2016 Share Опубликовано 12 июля, 2016 Сообщение из почты и парочка небольших зашифрованных файлов, упакованных в архив. Подскажите пожалуйста. абсолютно аналогичное письмо от того же "Департамента досудебного разбирательства" файлы с похожим названием "email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0.u.id-FMPRUVVVWWWXWYWXBCCDDDCCBCBBBBABAZYY-11.07.2016 8@33@591238518@@@@@8A12-EDB4.randomname-BUAAFFEDDBAZZZABAZAAKKIIIHGHGE.JRY.cbf" Только у нас оказалась очень настойчивая секретарь, которая скачала это "вложение" 4 раза возможно столько же раз запустила(хотя может это и не имеет значения). Помогите пожалуйста избавиться от дряни как восстановить файлы Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 12 июля, 2016 Share Опубликовано 12 июля, 2016 @SeregaDSO, здравствуйте! Создайте отдельную тему, прочтите и выполните Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти