Перейти к содержанию

Скачали письмо от "департамента досудебного разбирательства" который зашифровал документы

Центр
 Share

Рекомендуемые сообщения

Центр Новичок

Центр

Опубликовано
Опубликовано

Здравствуйте

Скачали письмо от "департамента досудебного разбирательства" на компьютер. И стали открывать его. Результат все документы зашифрованы в таком виде email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0.u.id-CCDEGHHHIJJKLLLMNOPPQQRSTTUUUVWWXYYY-11.07.2016 8@03@339909212@@@@@461D-4B6A.randomname-DEFGHIIJKLMMMNOOPQQQRSSTUVVVWX.YZZ.cbf

Просьба помочь.

Письмо сохранилось.

CollectionLog-2016.07.11-10.11.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Амиго

Служба автоматического обновления программ

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\1\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\1\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\1\AppData\Local\SystemDir\nethost.exe', '');
 QuarantineFile('C:\Users\1\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 QuarantineFile('C:\Users\1\appdata\roaming\daemon2.exe', '');
 QuarantineFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{E5FA39C5-9332-4203-8DDE-096F70524C86}" /F', 0, 15000, true);
 DeleteFile('C:\Users\1\AppData\Local\SystemDir\nethost.exe', '32');
 DeleteFile('C:\Users\1\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
 DeleteFile('C:\Users\1\appdata\roaming\daemon2.exe', '32');
 DeleteFileMask('c:\users\1\appdata\local\systemdir', '*', true);
 DeleteFileMask('c:\users\1\appdata\local\smartweb', '*', true);
 DeleteDirectory('c:\users\1\appdata\local\systemdir');
 DeleteDirectory('c:\users\1\appdata\local\smartweb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sowlbrmzbd');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cfivfcieea');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
Центр Новичок

Центр

Опубликовано
  • Автор
Опубликовано (изменено)

Письмо отправили по адресу newvirus@kaspersky.com. Вот ответ.


KLAN-4665061348  Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

daemon2.exe - not-a-virus:WebToolbar.Win32.Neobar.f

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

Вoйти в Интeрнeт.lnk,
bcqr00007.dat,
bcqr00008.dat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

 

 

Отчёт о работе в виде файла прикладываем. Логи повторяем.

ClearLNK-11.07.2016_11-13.log

Изменено пользователем Центр
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Центр Новичок

Центр

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

прикрепляем файлы.

Addition.txt

Shortcut.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicyUsers\S-1-5-21-4244560242-1553555424-2078822454-1002\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4244560242-1553555424-2078822454-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-4244560242-1553555424-2078822454-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://tbsearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=ru_RU
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&ts=1427804361&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1427804355&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {50751726-B10B-4FA6-AA36-63871AF0BCDD} URL = hxxp://rusearcher.com/search.php?us=searcher&pcid=026F243D-774F-436F-830B-891B673E762D&pid=41&query={searchTerms}&sc=ie
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&ts=1427804361&type=default&q={searchTerms}
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\1\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
FF NewTab: yafd:tabs
FF user.js: detected! => C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\user.js [2015-11-11]
FF Extension: Антимат - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\extensions\helper@helper [2016-05-13] [not signed]
FF Extension: Домашняя страница Mail.Ru - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\Extensions\homepage@mail.ru [2016-01-27]
FF Extension: Поиск@Mail.Ru - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\Extensions\search@mail.ru [2016-01-19]
FF Extension: Советник Яндекс.Маркета - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\extensions\sovetnik@metabar.ru.xpi [2016-07-05]
CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\eioddfaepdoeifbhjphfefgipcjcdieo [2016-05-23]
CHR Extension: (Советник Яндекс.Маркета) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdjdjkkjoiomafnihnobkinnfjnnlhdg [2016-07-11]
CHR Extension: (Стартовая — Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-05-06]
CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2016-05-23]
CHR Extension: (Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdeldjolamfbcgnndjmjjiinnhbnbnla [2016-05-10]
CHR Extension: (\) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmjindpbjjflhaojplclpcjfoaepgnhm [2015-12-29]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2016-05-23]
OPR Extension: (Advertising block) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-05-13]
C:\Users\1\AppData\Local\Temp\0ofj0yuSSOCe.exe
C:\Users\1\AppData\Local\Temp\2AAC3B71-B6DB-296E-AED9-BB62CC440E7A.exe
C:\Users\1\AppData\Local\Temp\2JWVNNfUehLC.exe
C:\Users\1\AppData\Local\Temp\2kUAPf5SPM9D.exe
C:\Users\1\AppData\Local\Temp\34D55530-8111-7E4E-03F3-CCDB9808EB44.dll
C:\Users\1\AppData\Local\Temp\34D55530-8111-7E4E-03F3-CCDB9808EB44.exe
C:\Users\1\AppData\Local\Temp\5ZxmEYa65PHu.exe
C:\Users\1\AppData\Local\Temp\6D482BB3-F5BA-416B-8644-100DFCFAE25D.exe
C:\Users\1\AppData\Local\Temp\8A9E4113-61E2-49A8-8CDA-FB1416297AF1.exe
C:\Users\1\AppData\Local\Temp\8BGvaPVly9Vo.exe
C:\Users\1\AppData\Local\Temp\9C048C59-5A9C-4D89-81A9-0E1D4C684DF1.exe
C:\Users\1\AppData\Local\Temp\ammyy.admin.v3.5.05.06.2015.zip.exe
C:\Users\1\AppData\Local\Temp\AskSLib.dll
C:\Users\1\AppData\Local\Temp\BaGGchKtxtv6.exe
C:\Users\1\AppData\Local\Temp\BASSMOD.DLL
C:\Users\1\AppData\Local\Temp\BZREc3xxRKrz.exe
C:\Users\1\AppData\Local\Temp\carambis_driver_updater_18f85ad9c8c290a78acf4484aae6ab9df220cc41.exe
C:\Users\1\AppData\Local\Temp\ci1NIRV4lbzn.exe
C:\Users\1\AppData\Local\Temp\downloader.exe
C:\Users\1\AppData\Local\Temp\DseShExt-x86.dll
C:\Users\1\AppData\Local\Temp\ePh5IgW5Omlb.exe
C:\Users\1\AppData\Local\Temp\F6DC384E-EE3E-4577-9E94-0359C44F339A.exe
C:\Users\1\AppData\Local\Temp\fast-torrent-search.exe
C:\Users\1\AppData\Local\Temp\FFC2k7U.exe
C:\Users\1\AppData\Local\Temp\fxf7183ZY6DN.exe
C:\Users\1\AppData\Local\Temp\GGp7ACFYXenO.exe
C:\Users\1\AppData\Local\Temp\HamsterPDFReader-update.exe
C:\Users\1\AppData\Local\Temp\hhABk5mclVIC.exe
C:\Users\1\AppData\Local\Temp\ICReinstall_cardrecovery.exe
C:\Users\1\AppData\Local\Temp\iobitdownloader_installspro.exe
C:\Users\1\AppData\Local\Temp\iv_uninstall.exe
C:\Users\1\AppData\Local\Temp\jna24027429969366050.dll
C:\Users\1\AppData\Local\Temp\jre-8u65-windows-au.exe
C:\Users\1\AppData\Local\Temp\JUrbDP4JBGHN.exe
C:\Users\1\AppData\Local\Temp\kometa_vd.exe
C:\Users\1\AppData\Local\Temp\L6XOqcnHxrm4.exe
C:\Users\1\AppData\Local\Temp\LENOVOSHAREIT17-9.EXE
C:\Users\1\AppData\Local\Temp\magentsetup.exe
C:\Users\1\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\1\AppData\Local\Temp\NMIf10jWb1J9.exe
C:\Users\1\AppData\Local\Temp\nss8465.tmp.exe
C:\Users\1\AppData\Local\Temp\O2k3PSP3U.exe
C:\Users\1\AppData\Local\Temp\opera_installer.exe
C:\Users\1\AppData\Local\Temp\pmMEFsymD9xT.exe
C:\Users\1\AppData\Local\Temp\qweee.exe
C:\Users\1\AppData\Local\Temp\S6wAKvMrPUEa.exe
C:\Users\1\AppData\Local\Temp\Samsung_MonSetup.exe
C:\Users\1\AppData\Local\Temp\SDShelEx-win32.dll
C:\Users\1\AppData\Local\Temp\sender.exe
C:\Users\1\AppData\Local\Temp\Setup Incl Crack__12407_il212123.exe
C:\Users\1\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\1\AppData\Local\Temp\SETUP.EXE
C:\Users\1\AppData\Local\Temp\SpOrder.dll
C:\Users\1\AppData\Local\Temp\SZNVYMShqc3l.exe
C:\Users\1\AppData\Local\Temp\ULfeAq82KUpr.exe
C:\Users\1\AppData\Local\Temp\uLTNHyuKNh61.exe
C:\Users\1\AppData\Local\Temp\uninst.exe
C:\Users\1\AppData\Local\Temp\Uninstall.exe
C:\Users\1\AppData\Local\Temp\uUJmHGQxdAKq.exe
C:\Users\1\AppData\Local\Temp\WVJCJKezVRef.exe
C:\Users\1\AppData\Local\Temp\xs3CA6btdfpO.exe
C:\Users\1\AppData\Local\Temp\XWjjMwEJddqi.exe
C:\Users\1\AppData\Local\Temp\YandexWorking.exe
C:\Users\1\AppData\Local\Temp\yQ3erTajkCQP.exe
C:\Users\1\AppData\Local\Temp\yupdate-exec-yabrowser.exe
C:\Users\1\AppData\Local\Temp\ZaxarSetup.4.001.33.exe
C:\Users\1\AppData\Local\Temp\_is9280.exe
C:\Users\1\AppData\Local\Temp\{28608B53-16A0-4779-8188-E79E8CEAF903}-43.0.2357.124_chrome_installer.exe
C:\Users\1\AppData\Local\Temp\{5671A736-2B5E-4F1C-A0B5-D29AECA8BA26}-43.0.2357.130_chrome_installer.exe
C:\Users\1\AppData\Local\Temp\{80A26B34-A74C-4D0B-9406-0BE7CE61F8C3}-42.0.2311.90_41.0.2272.118_chrome_updater.exe
C:\Users\1\AppData\Local\Temp\{8182A616-CF28-4F2A-BEAB-CDC5C6D082B6}.exe
C:\Users\1\AppData\Local\Temp\{FC090518-9A2E-4488-A2F1-6E1DA286EC0B}.EXE
Task: {1AED7A05-18E5-4E97-A672-B40550530D2F} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {48991224-52AD-4653-AEA9-AAA4A7E96AD4} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {688CC7CF-711B-4B9B-A9FE-E6285099FD65} - System32\Tasks\Driver Booster SkipUAC (1) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
Task: {A2DA2C75-BA52-4217-8EFD-E11A0FB85835} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachine => C:\Users\1\AppData\Roaming\Microsoft\Video\rizotto.exe [2016-05-13] () <==== ATTENTION
Task: {D249FAC0-71AE-4415-836D-2668565592F2} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Центр Новичок

Центр

Опубликовано
  • Автор
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicyUsers\S-1-5-21-4244560242-1553555424-2078822454-1002\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4244560242-1553555424-2078822454-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-4244560242-1553555424-2078822454-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://tbsearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=ru_RU
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&ts=1427804361&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1427804355&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {50751726-B10B-4FA6-AA36-63871AF0BCDD} URL = hxxp://rusearcher.com/search.php?us=searcher&pcid=026F243D-774F-436F-830B-891B673E762D&pid=41&query={searchTerms}&sc=ie
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&ts=1427804361&type=default&q={searchTerms}
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\1\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
FF NewTab: yafd:tabs
FF user.js: detected! => C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\user.js [2015-11-11]
FF Extension: Антимат - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\extensions\helper@helper [2016-05-13] [not signed]
FF Extension: Домашняя страница Mail.Ru - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\Extensions\homepage@mail.ru [2016-01-27]
FF Extension: Поиск@Mail.Ru - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\Extensions\search@mail.ru [2016-01-19]
FF Extension: Советник Яндекс.Маркета - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\extensions\sovetnik@metabar.ru.xpi [2016-07-05]
CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\eioddfaepdoeifbhjphfefgipcjcdieo [2016-05-23]
CHR Extension: (Советник Яндекс.Маркета) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdjdjkkjoiomafnihnobkinnfjnnlhdg [2016-07-11]
CHR Extension: (Стартовая — Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-05-06]
CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2016-05-23]
CHR Extension: (Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdeldjolamfbcgnndjmjjiinnhbnbnla [2016-05-10]
CHR Extension: (\) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmjindpbjjflhaojplclpcjfoaepgnhm [2015-12-29]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2016-05-23]
OPR Extension: (Advertising block) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-05-13]
C:\Users\1\AppData\Local\Temp\0ofj0yuSSOCe.exe
C:\Users\1\AppData\Local\Temp\2AAC3B71-B6DB-296E-AED9-BB62CC440E7A.exe
C:\Users\1\AppData\Local\Temp\2JWVNNfUehLC.exe
C:\Users\1\AppData\Local\Temp\2kUAPf5SPM9D.exe
C:\Users\1\AppData\Local\Temp\34D55530-8111-7E4E-03F3-CCDB9808EB44.dll
C:\Users\1\AppData\Local\Temp\34D55530-8111-7E4E-03F3-CCDB9808EB44.exe
C:\Users\1\AppData\Local\Temp\5ZxmEYa65PHu.exe
C:\Users\1\AppData\Local\Temp\6D482BB3-F5BA-416B-8644-100DFCFAE25D.exe
C:\Users\1\AppData\Local\Temp\8A9E4113-61E2-49A8-8CDA-FB1416297AF1.exe
C:\Users\1\AppData\Local\Temp\8BGvaPVly9Vo.exe
C:\Users\1\AppData\Local\Temp\9C048C59-5A9C-4D89-81A9-0E1D4C684DF1.exe
C:\Users\1\AppData\Local\Temp\ammyy.admin.v3.5.05.06.2015.zip.exe
C:\Users\1\AppData\Local\Temp\AskSLib.dll
C:\Users\1\AppData\Local\Temp\BaGGchKtxtv6.exe
C:\Users\1\AppData\Local\Temp\BASSMOD.DLL
C:\Users\1\AppData\Local\Temp\BZREc3xxRKrz.exe
C:\Users\1\AppData\Local\Temp\carambis_driver_updater_18f85ad9c8c290a78acf4484aae6ab9df220cc41.exe
C:\Users\1\AppData\Local\Temp\ci1NIRV4lbzn.exe
C:\Users\1\AppData\Local\Temp\downloader.exe
C:\Users\1\AppData\Local\Temp\DseShExt-x86.dll
C:\Users\1\AppData\Local\Temp\ePh5IgW5Omlb.exe
C:\Users\1\AppData\Local\Temp\F6DC384E-EE3E-4577-9E94-0359C44F339A.exe
C:\Users\1\AppData\Local\Temp\fast-torrent-search.exe
C:\Users\1\AppData\Local\Temp\FFC2k7U.exe
C:\Users\1\AppData\Local\Temp\fxf7183ZY6DN.exe
C:\Users\1\AppData\Local\Temp\GGp7ACFYXenO.exe
C:\Users\1\AppData\Local\Temp\HamsterPDFReader-update.exe
C:\Users\1\AppData\Local\Temp\hhABk5mclVIC.exe
C:\Users\1\AppData\Local\Temp\ICReinstall_cardrecovery.exe
C:\Users\1\AppData\Local\Temp\iobitdownloader_installspro.exe
C:\Users\1\AppData\Local\Temp\iv_uninstall.exe
C:\Users\1\AppData\Local\Temp\jna24027429969366050.dll
C:\Users\1\AppData\Local\Temp\jre-8u65-windows-au.exe
C:\Users\1\AppData\Local\Temp\JUrbDP4JBGHN.exe
C:\Users\1\AppData\Local\Temp\kometa_vd.exe
C:\Users\1\AppData\Local\Temp\L6XOqcnHxrm4.exe
C:\Users\1\AppData\Local\Temp\LENOVOSHAREIT17-9.EXE
C:\Users\1\AppData\Local\Temp\magentsetup.exe
C:\Users\1\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\1\AppData\Local\Temp\NMIf10jWb1J9.exe
C:\Users\1\AppData\Local\Temp\nss8465.tmp.exe
C:\Users\1\AppData\Local\Temp\O2k3PSP3U.exe
C:\Users\1\AppData\Local\Temp\opera_installer.exe
C:\Users\1\AppData\Local\Temp\pmMEFsymD9xT.exe
C:\Users\1\AppData\Local\Temp\qweee.exe
C:\Users\1\AppData\Local\Temp\S6wAKvMrPUEa.exe
C:\Users\1\AppData\Local\Temp\Samsung_MonSetup.exe
C:\Users\1\AppData\Local\Temp\SDShelEx-win32.dll
C:\Users\1\AppData\Local\Temp\sender.exe
C:\Users\1\AppData\Local\Temp\Setup Incl Crack__12407_il212123.exe
C:\Users\1\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\1\AppData\Local\Temp\SETUP.EXE
C:\Users\1\AppData\Local\Temp\SpOrder.dll
C:\Users\1\AppData\Local\Temp\SZNVYMShqc3l.exe
C:\Users\1\AppData\Local\Temp\ULfeAq82KUpr.exe
C:\Users\1\AppData\Local\Temp\uLTNHyuKNh61.exe
C:\Users\1\AppData\Local\Temp\uninst.exe
C:\Users\1\AppData\Local\Temp\Uninstall.exe
C:\Users\1\AppData\Local\Temp\uUJmHGQxdAKq.exe
C:\Users\1\AppData\Local\Temp\WVJCJKezVRef.exe
C:\Users\1\AppData\Local\Temp\xs3CA6btdfpO.exe
C:\Users\1\AppData\Local\Temp\XWjjMwEJddqi.exe
C:\Users\1\AppData\Local\Temp\YandexWorking.exe
C:\Users\1\AppData\Local\Temp\yQ3erTajkCQP.exe
C:\Users\1\AppData\Local\Temp\yupdate-exec-yabrowser.exe
C:\Users\1\AppData\Local\Temp\ZaxarSetup.4.001.33.exe
C:\Users\1\AppData\Local\Temp\_is9280.exe
C:\Users\1\AppData\Local\Temp\{28608B53-16A0-4779-8188-E79E8CEAF903}-43.0.2357.124_chrome_installer.exe
C:\Users\1\AppData\Local\Temp\{5671A736-2B5E-4F1C-A0B5-D29AECA8BA26}-43.0.2357.130_chrome_installer.exe
C:\Users\1\AppData\Local\Temp\{80A26B34-A74C-4D0B-9406-0BE7CE61F8C3}-42.0.2311.90_41.0.2272.118_chrome_updater.exe
C:\Users\1\AppData\Local\Temp\{8182A616-CF28-4F2A-BEAB-CDC5C6D082B6}.exe
C:\Users\1\AppData\Local\Temp\{FC090518-9A2E-4488-A2F1-6E1DA286EC0B}.EXE
Task: {1AED7A05-18E5-4E97-A672-B40550530D2F} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {48991224-52AD-4653-AEA9-AAA4A7E96AD4} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {688CC7CF-711B-4B9B-A9FE-E6285099FD65} - System32\Tasks\Driver Booster SkipUAC (1) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
Task: {A2DA2C75-BA52-4217-8EFD-E11A0FB85835} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachine => C:\Users\1\AppData\Roaming\Microsoft\Video\rizotto.exe [2016-05-13] () <==== ATTENTION
Task: {D249FAC0-71AE-4415-836D-2668565592F2} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

прикрепляем файл

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Файл

C:\Program Files\YMIXRHAGAD.UKX

удалите вручную.

 

Адварь очищена. При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

 

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) - версия устарела. Обновите до KES 10.

Ссылка на комментарий
Поделиться на другие сайты
Центр Новичок

Центр

Опубликовано
  • Автор
Опубликовано

Файл

C:\Program Files\YMIXRHAGAD.UKX

удалите вручную.

 

Адварь очищена. При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

 

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) - версия устарела. Обновите до KES 10.

подскажите какие файлы могут оказаться полезными для вирусной лаборатории.

Ссылка на комментарий
Поделиться на другие сайты
SeregaDSO Новичок

SeregaDSO

Опубликовано
Опубликовано

Сообщение из почты и парочка небольших зашифрованных файлов, упакованных в архив.

 

Подскажите пожалуйста. абсолютно аналогичное письмо от того же "Департамента досудебного разбирательства"  файлы с похожим названием "email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0.u.id-FMPRUVVVWWWXWYWXBCCDDDCCBCBBBBABAZYY-11.07.2016 8@33@591238518@@@@@8A12-EDB4.randomname-BUAAFFEDDBAZZZABAZAAKKIIIHGHGE.JRY.cbf"  Только у нас оказалась очень настойчивая секретарь, которая скачала это "вложение" 4 раза возможно столько же раз запустила(хотя может это и не имеет значения). Помогите пожалуйста избавиться от дряни как восстановить файлы

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Сергей рнд
      скачал и открыл файл, зашифровались данные
      От Сергей рнд
      Добрый день, нужна помощь в расшифровке ,прислали счет на оплату, я даже не понял от кого и естественно открыл,после чего зашифровалось все что было на компе,а на экране вылетело сообщение об оплате,откатывал систему не помогло,сбил виндовс и дальше продолжил работу,однако хотелось бы востановить клиентскую базу)вложу архив с запиской вымогателя,так же могу прикрепиShortcut.txtFRST.txtAddition.txtть почту с которой мне писали.. не понял только как выполнить это действие??вложите в сообщение логи, собранные Farbar Recovery Scan Tool,
      максим.rar
    • Андрей1566
      зашифрованы базы 1С и документы. Требуют денег.
      От Андрей1566
      Ночью были перекодированы все бекапы файлов и баз 1С Так же все рабочие базы. Сами системы не пострадали Пожалуйста раскодируйте по возможности. Есть подозрение, что вирус принес гость, подключившийся к офисной сети
      Addition.txt FRST.txt README.txt
    • GLORYX
      скачал какой то вирус вроде троян
      От GLORYX
      не знаю как но где словил троян в диспечере задай просто находится пустой проц с аватаркой шестеренки пробовал через все програму успехом не увенчалось.
    • CHEAX
      [РЕШЕНО] Два файла dwm.exe, один из которых вирус.
      От CHEAX
      Один из файлов грузит систему, ни один антивирус поймать не может, в том числе Касперский Премиум. На данном форуме видел подобные темы, uVS скачан. Просьба помочь в решении вопроса.

    • Елена9999999
      Вирус-шифровальщик. Возможно ли восстановить документы?
      От Елена9999999
      Здравствуйте, 
      На компьютер попал вирус. Теперь все файлы с расширением gxGxvJCWI. Везде требования об их выкупе. Можно ли как-то восстановить файлы? 
×
×
  • Создать...