Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Скачали письмо от "департамента досудебного разбирательства" который зашифровал документы

Центр
 Поделиться

Рекомендуемые сообщения

Центр Новичок

Центр

Опубликовано
Опубликовано

Здравствуйте

Скачали письмо от "департамента досудебного разбирательства" на компьютер. И стали открывать его. Результат все документы зашифрованы в таком виде email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0.u.id-CCDEGHHHIJJKLLLMNOPPQQRSTTUUUVWWXYYY-11.07.2016 8@03@339909212@@@@@461D-4B6A.randomname-DEFGHIIJKLMMMNOOPQQQRSSTUVVVWX.YZZ.cbf

Просьба помочь.

Письмо сохранилось.

CollectionLog-2016.07.11-10.11.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Амиго

Служба автоматического обновления программ

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\1\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\1\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\1\AppData\Local\SystemDir\nethost.exe', '');
 QuarantineFile('C:\Users\1\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 QuarantineFile('C:\Users\1\appdata\roaming\daemon2.exe', '');
 QuarantineFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{E5FA39C5-9332-4203-8DDE-096F70524C86}" /F', 0, 15000, true);
 DeleteFile('C:\Users\1\AppData\Local\SystemDir\nethost.exe', '32');
 DeleteFile('C:\Users\1\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
 DeleteFile('C:\Users\1\appdata\roaming\daemon2.exe', '32');
 DeleteFileMask('c:\users\1\appdata\local\systemdir', '*', true);
 DeleteFileMask('c:\users\1\appdata\local\smartweb', '*', true);
 DeleteDirectory('c:\users\1\appdata\local\systemdir');
 DeleteDirectory('c:\users\1\appdata\local\smartweb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sowlbrmzbd');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cfivfcieea');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
Центр Новичок

Центр

Опубликовано
  • Автор
Опубликовано (изменено)

Письмо отправили по адресу newvirus@kaspersky.com. Вот ответ.


KLAN-4665061348  Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

daemon2.exe - not-a-virus:WebToolbar.Win32.Neobar.f

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

Вoйти в Интeрнeт.lnk,
bcqr00007.dat,
bcqr00008.dat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

 

 

Отчёт о работе в виде файла прикладываем. Логи повторяем.

ClearLNK-11.07.2016_11-13.log

Изменено пользователем Центр
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Центр Новичок

Центр

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

прикрепляем файлы.

Addition.txt

Shortcut.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicyUsers\S-1-5-21-4244560242-1553555424-2078822454-1002\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4244560242-1553555424-2078822454-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-4244560242-1553555424-2078822454-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://tbsearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=ru_RU
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&ts=1427804361&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1427804355&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {50751726-B10B-4FA6-AA36-63871AF0BCDD} URL = hxxp://rusearcher.com/search.php?us=searcher&pcid=026F243D-774F-436F-830B-891B673E762D&pid=41&query={searchTerms}&sc=ie
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&ts=1427804361&type=default&q={searchTerms}
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\1\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
FF NewTab: yafd:tabs
FF user.js: detected! => C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\user.js [2015-11-11]
FF Extension: Антимат - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\extensions\helper@helper [2016-05-13] [not signed]
FF Extension: Домашняя страница Mail.Ru - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\Extensions\homepage@mail.ru [2016-01-27]
FF Extension: Поиск@Mail.Ru - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\Extensions\search@mail.ru [2016-01-19]
FF Extension: Советник Яндекс.Маркета - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\extensions\sovetnik@metabar.ru.xpi [2016-07-05]
CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\eioddfaepdoeifbhjphfefgipcjcdieo [2016-05-23]
CHR Extension: (Советник Яндекс.Маркета) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdjdjkkjoiomafnihnobkinnfjnnlhdg [2016-07-11]
CHR Extension: (Стартовая — Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-05-06]
CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2016-05-23]
CHR Extension: (Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdeldjolamfbcgnndjmjjiinnhbnbnla [2016-05-10]
CHR Extension: (\) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmjindpbjjflhaojplclpcjfoaepgnhm [2015-12-29]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2016-05-23]
OPR Extension: (Advertising block) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-05-13]
C:\Users\1\AppData\Local\Temp\0ofj0yuSSOCe.exe
C:\Users\1\AppData\Local\Temp\2AAC3B71-B6DB-296E-AED9-BB62CC440E7A.exe
C:\Users\1\AppData\Local\Temp\2JWVNNfUehLC.exe
C:\Users\1\AppData\Local\Temp\2kUAPf5SPM9D.exe
C:\Users\1\AppData\Local\Temp\34D55530-8111-7E4E-03F3-CCDB9808EB44.dll
C:\Users\1\AppData\Local\Temp\34D55530-8111-7E4E-03F3-CCDB9808EB44.exe
C:\Users\1\AppData\Local\Temp\5ZxmEYa65PHu.exe
C:\Users\1\AppData\Local\Temp\6D482BB3-F5BA-416B-8644-100DFCFAE25D.exe
C:\Users\1\AppData\Local\Temp\8A9E4113-61E2-49A8-8CDA-FB1416297AF1.exe
C:\Users\1\AppData\Local\Temp\8BGvaPVly9Vo.exe
C:\Users\1\AppData\Local\Temp\9C048C59-5A9C-4D89-81A9-0E1D4C684DF1.exe
C:\Users\1\AppData\Local\Temp\ammyy.admin.v3.5.05.06.2015.zip.exe
C:\Users\1\AppData\Local\Temp\AskSLib.dll
C:\Users\1\AppData\Local\Temp\BaGGchKtxtv6.exe
C:\Users\1\AppData\Local\Temp\BASSMOD.DLL
C:\Users\1\AppData\Local\Temp\BZREc3xxRKrz.exe
C:\Users\1\AppData\Local\Temp\carambis_driver_updater_18f85ad9c8c290a78acf4484aae6ab9df220cc41.exe
C:\Users\1\AppData\Local\Temp\ci1NIRV4lbzn.exe
C:\Users\1\AppData\Local\Temp\downloader.exe
C:\Users\1\AppData\Local\Temp\DseShExt-x86.dll
C:\Users\1\AppData\Local\Temp\ePh5IgW5Omlb.exe
C:\Users\1\AppData\Local\Temp\F6DC384E-EE3E-4577-9E94-0359C44F339A.exe
C:\Users\1\AppData\Local\Temp\fast-torrent-search.exe
C:\Users\1\AppData\Local\Temp\FFC2k7U.exe
C:\Users\1\AppData\Local\Temp\fxf7183ZY6DN.exe
C:\Users\1\AppData\Local\Temp\GGp7ACFYXenO.exe
C:\Users\1\AppData\Local\Temp\HamsterPDFReader-update.exe
C:\Users\1\AppData\Local\Temp\hhABk5mclVIC.exe
C:\Users\1\AppData\Local\Temp\ICReinstall_cardrecovery.exe
C:\Users\1\AppData\Local\Temp\iobitdownloader_installspro.exe
C:\Users\1\AppData\Local\Temp\iv_uninstall.exe
C:\Users\1\AppData\Local\Temp\jna24027429969366050.dll
C:\Users\1\AppData\Local\Temp\jre-8u65-windows-au.exe
C:\Users\1\AppData\Local\Temp\JUrbDP4JBGHN.exe
C:\Users\1\AppData\Local\Temp\kometa_vd.exe
C:\Users\1\AppData\Local\Temp\L6XOqcnHxrm4.exe
C:\Users\1\AppData\Local\Temp\LENOVOSHAREIT17-9.EXE
C:\Users\1\AppData\Local\Temp\magentsetup.exe
C:\Users\1\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\1\AppData\Local\Temp\NMIf10jWb1J9.exe
C:\Users\1\AppData\Local\Temp\nss8465.tmp.exe
C:\Users\1\AppData\Local\Temp\O2k3PSP3U.exe
C:\Users\1\AppData\Local\Temp\opera_installer.exe
C:\Users\1\AppData\Local\Temp\pmMEFsymD9xT.exe
C:\Users\1\AppData\Local\Temp\qweee.exe
C:\Users\1\AppData\Local\Temp\S6wAKvMrPUEa.exe
C:\Users\1\AppData\Local\Temp\Samsung_MonSetup.exe
C:\Users\1\AppData\Local\Temp\SDShelEx-win32.dll
C:\Users\1\AppData\Local\Temp\sender.exe
C:\Users\1\AppData\Local\Temp\Setup Incl Crack__12407_il212123.exe
C:\Users\1\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\1\AppData\Local\Temp\SETUP.EXE
C:\Users\1\AppData\Local\Temp\SpOrder.dll
C:\Users\1\AppData\Local\Temp\SZNVYMShqc3l.exe
C:\Users\1\AppData\Local\Temp\ULfeAq82KUpr.exe
C:\Users\1\AppData\Local\Temp\uLTNHyuKNh61.exe
C:\Users\1\AppData\Local\Temp\uninst.exe
C:\Users\1\AppData\Local\Temp\Uninstall.exe
C:\Users\1\AppData\Local\Temp\uUJmHGQxdAKq.exe
C:\Users\1\AppData\Local\Temp\WVJCJKezVRef.exe
C:\Users\1\AppData\Local\Temp\xs3CA6btdfpO.exe
C:\Users\1\AppData\Local\Temp\XWjjMwEJddqi.exe
C:\Users\1\AppData\Local\Temp\YandexWorking.exe
C:\Users\1\AppData\Local\Temp\yQ3erTajkCQP.exe
C:\Users\1\AppData\Local\Temp\yupdate-exec-yabrowser.exe
C:\Users\1\AppData\Local\Temp\ZaxarSetup.4.001.33.exe
C:\Users\1\AppData\Local\Temp\_is9280.exe
C:\Users\1\AppData\Local\Temp\{28608B53-16A0-4779-8188-E79E8CEAF903}-43.0.2357.124_chrome_installer.exe
C:\Users\1\AppData\Local\Temp\{5671A736-2B5E-4F1C-A0B5-D29AECA8BA26}-43.0.2357.130_chrome_installer.exe
C:\Users\1\AppData\Local\Temp\{80A26B34-A74C-4D0B-9406-0BE7CE61F8C3}-42.0.2311.90_41.0.2272.118_chrome_updater.exe
C:\Users\1\AppData\Local\Temp\{8182A616-CF28-4F2A-BEAB-CDC5C6D082B6}.exe
C:\Users\1\AppData\Local\Temp\{FC090518-9A2E-4488-A2F1-6E1DA286EC0B}.EXE
Task: {1AED7A05-18E5-4E97-A672-B40550530D2F} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {48991224-52AD-4653-AEA9-AAA4A7E96AD4} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {688CC7CF-711B-4B9B-A9FE-E6285099FD65} - System32\Tasks\Driver Booster SkipUAC (1) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
Task: {A2DA2C75-BA52-4217-8EFD-E11A0FB85835} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachine => C:\Users\1\AppData\Roaming\Microsoft\Video\rizotto.exe [2016-05-13] () <==== ATTENTION
Task: {D249FAC0-71AE-4415-836D-2668565592F2} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Центр Новичок

Центр

Опубликовано
  • Автор
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicyUsers\S-1-5-21-4244560242-1553555424-2078822454-1002\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4244560242-1553555424-2078822454-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-4244560242-1553555424-2078822454-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1427804317&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://tbsearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=ru_RU
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&ts=1427804361&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1427804355&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {50751726-B10B-4FA6-AA36-63871AF0BCDD} URL = hxxp://rusearcher.com/search.php?us=searcher&pcid=026F243D-774F-436F-830B-891B673E762D&pid=41&query={searchTerms}&sc=ie
SearchScopes: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=ST500DM002-1BD142_S2AYJ13GXXXXS2AYJ13G&ts=1427804361&type=default&q={searchTerms}
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\1\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-4244560242-1553555424-2078822454-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
FF NewTab: yafd:tabs
FF user.js: detected! => C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\user.js [2015-11-11]
FF Extension: Антимат - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\extensions\helper@helper [2016-05-13] [not signed]
FF Extension: Домашняя страница Mail.Ru - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\Extensions\homepage@mail.ru [2016-01-27]
FF Extension: Поиск@Mail.Ru - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\Extensions\search@mail.ru [2016-01-19]
FF Extension: Советник Яндекс.Маркета - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\39yzpdd5.default\extensions\sovetnik@metabar.ru.xpi [2016-07-05]
CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\eioddfaepdoeifbhjphfefgipcjcdieo [2016-05-23]
CHR Extension: (Советник Яндекс.Маркета) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdjdjkkjoiomafnihnobkinnfjnnlhdg [2016-07-11]
CHR Extension: (Стартовая — Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-05-06]
CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2016-05-23]
CHR Extension: (Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdeldjolamfbcgnndjmjjiinnhbnbnla [2016-05-10]
CHR Extension: (\) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmjindpbjjflhaojplclpcjfoaepgnhm [2015-12-29]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2016-05-23]
OPR Extension: (Advertising block) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-05-13]
C:\Users\1\AppData\Local\Temp\0ofj0yuSSOCe.exe
C:\Users\1\AppData\Local\Temp\2AAC3B71-B6DB-296E-AED9-BB62CC440E7A.exe
C:\Users\1\AppData\Local\Temp\2JWVNNfUehLC.exe
C:\Users\1\AppData\Local\Temp\2kUAPf5SPM9D.exe
C:\Users\1\AppData\Local\Temp\34D55530-8111-7E4E-03F3-CCDB9808EB44.dll
C:\Users\1\AppData\Local\Temp\34D55530-8111-7E4E-03F3-CCDB9808EB44.exe
C:\Users\1\AppData\Local\Temp\5ZxmEYa65PHu.exe
C:\Users\1\AppData\Local\Temp\6D482BB3-F5BA-416B-8644-100DFCFAE25D.exe
C:\Users\1\AppData\Local\Temp\8A9E4113-61E2-49A8-8CDA-FB1416297AF1.exe
C:\Users\1\AppData\Local\Temp\8BGvaPVly9Vo.exe
C:\Users\1\AppData\Local\Temp\9C048C59-5A9C-4D89-81A9-0E1D4C684DF1.exe
C:\Users\1\AppData\Local\Temp\ammyy.admin.v3.5.05.06.2015.zip.exe
C:\Users\1\AppData\Local\Temp\AskSLib.dll
C:\Users\1\AppData\Local\Temp\BaGGchKtxtv6.exe
C:\Users\1\AppData\Local\Temp\BASSMOD.DLL
C:\Users\1\AppData\Local\Temp\BZREc3xxRKrz.exe
C:\Users\1\AppData\Local\Temp\carambis_driver_updater_18f85ad9c8c290a78acf4484aae6ab9df220cc41.exe
C:\Users\1\AppData\Local\Temp\ci1NIRV4lbzn.exe
C:\Users\1\AppData\Local\Temp\downloader.exe
C:\Users\1\AppData\Local\Temp\DseShExt-x86.dll
C:\Users\1\AppData\Local\Temp\ePh5IgW5Omlb.exe
C:\Users\1\AppData\Local\Temp\F6DC384E-EE3E-4577-9E94-0359C44F339A.exe
C:\Users\1\AppData\Local\Temp\fast-torrent-search.exe
C:\Users\1\AppData\Local\Temp\FFC2k7U.exe
C:\Users\1\AppData\Local\Temp\fxf7183ZY6DN.exe
C:\Users\1\AppData\Local\Temp\GGp7ACFYXenO.exe
C:\Users\1\AppData\Local\Temp\HamsterPDFReader-update.exe
C:\Users\1\AppData\Local\Temp\hhABk5mclVIC.exe
C:\Users\1\AppData\Local\Temp\ICReinstall_cardrecovery.exe
C:\Users\1\AppData\Local\Temp\iobitdownloader_installspro.exe
C:\Users\1\AppData\Local\Temp\iv_uninstall.exe
C:\Users\1\AppData\Local\Temp\jna24027429969366050.dll
C:\Users\1\AppData\Local\Temp\jre-8u65-windows-au.exe
C:\Users\1\AppData\Local\Temp\JUrbDP4JBGHN.exe
C:\Users\1\AppData\Local\Temp\kometa_vd.exe
C:\Users\1\AppData\Local\Temp\L6XOqcnHxrm4.exe
C:\Users\1\AppData\Local\Temp\LENOVOSHAREIT17-9.EXE
C:\Users\1\AppData\Local\Temp\magentsetup.exe
C:\Users\1\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\1\AppData\Local\Temp\NMIf10jWb1J9.exe
C:\Users\1\AppData\Local\Temp\nss8465.tmp.exe
C:\Users\1\AppData\Local\Temp\O2k3PSP3U.exe
C:\Users\1\AppData\Local\Temp\opera_installer.exe
C:\Users\1\AppData\Local\Temp\pmMEFsymD9xT.exe
C:\Users\1\AppData\Local\Temp\qweee.exe
C:\Users\1\AppData\Local\Temp\S6wAKvMrPUEa.exe
C:\Users\1\AppData\Local\Temp\Samsung_MonSetup.exe
C:\Users\1\AppData\Local\Temp\SDShelEx-win32.dll
C:\Users\1\AppData\Local\Temp\sender.exe
C:\Users\1\AppData\Local\Temp\Setup Incl Crack__12407_il212123.exe
C:\Users\1\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\1\AppData\Local\Temp\SETUP.EXE
C:\Users\1\AppData\Local\Temp\SpOrder.dll
C:\Users\1\AppData\Local\Temp\SZNVYMShqc3l.exe
C:\Users\1\AppData\Local\Temp\ULfeAq82KUpr.exe
C:\Users\1\AppData\Local\Temp\uLTNHyuKNh61.exe
C:\Users\1\AppData\Local\Temp\uninst.exe
C:\Users\1\AppData\Local\Temp\Uninstall.exe
C:\Users\1\AppData\Local\Temp\uUJmHGQxdAKq.exe
C:\Users\1\AppData\Local\Temp\WVJCJKezVRef.exe
C:\Users\1\AppData\Local\Temp\xs3CA6btdfpO.exe
C:\Users\1\AppData\Local\Temp\XWjjMwEJddqi.exe
C:\Users\1\AppData\Local\Temp\YandexWorking.exe
C:\Users\1\AppData\Local\Temp\yQ3erTajkCQP.exe
C:\Users\1\AppData\Local\Temp\yupdate-exec-yabrowser.exe
C:\Users\1\AppData\Local\Temp\ZaxarSetup.4.001.33.exe
C:\Users\1\AppData\Local\Temp\_is9280.exe
C:\Users\1\AppData\Local\Temp\{28608B53-16A0-4779-8188-E79E8CEAF903}-43.0.2357.124_chrome_installer.exe
C:\Users\1\AppData\Local\Temp\{5671A736-2B5E-4F1C-A0B5-D29AECA8BA26}-43.0.2357.130_chrome_installer.exe
C:\Users\1\AppData\Local\Temp\{80A26B34-A74C-4D0B-9406-0BE7CE61F8C3}-42.0.2311.90_41.0.2272.118_chrome_updater.exe
C:\Users\1\AppData\Local\Temp\{8182A616-CF28-4F2A-BEAB-CDC5C6D082B6}.exe
C:\Users\1\AppData\Local\Temp\{FC090518-9A2E-4488-A2F1-6E1DA286EC0B}.EXE
Task: {1AED7A05-18E5-4E97-A672-B40550530D2F} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {48991224-52AD-4653-AEA9-AAA4A7E96AD4} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {688CC7CF-711B-4B9B-A9FE-E6285099FD65} - System32\Tasks\Driver Booster SkipUAC (1) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
Task: {A2DA2C75-BA52-4217-8EFD-E11A0FB85835} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachine => C:\Users\1\AppData\Roaming\Microsoft\Video\rizotto.exe [2016-05-13] () <==== ATTENTION
Task: {D249FAC0-71AE-4415-836D-2668565592F2} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

прикрепляем файл

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Файл

C:\Program Files\YMIXRHAGAD.UKX

удалите вручную.

 

Адварь очищена. При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

 

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) - версия устарела. Обновите до KES 10.

Ссылка на комментарий
Поделиться на другие сайты
Центр Новичок

Центр

Опубликовано
  • Автор
Опубликовано

Файл

C:\Program Files\YMIXRHAGAD.UKX

удалите вручную.

 

Адварь очищена. При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

 

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) - версия устарела. Обновите до KES 10.

подскажите какие файлы могут оказаться полезными для вирусной лаборатории.

Ссылка на комментарий
Поделиться на другие сайты
SeregaDSO Новичок

SeregaDSO

Опубликовано
Опубликовано

Сообщение из почты и парочка небольших зашифрованных файлов, упакованных в архив.

 

Подскажите пожалуйста. абсолютно аналогичное письмо от того же "Департамента досудебного разбирательства"  файлы с похожим названием "email-cryptolocker@aol.com_mod.ver-CL 1.0.0.0.u.id-FMPRUVVVWWWXWYWXBCCDDDCCBCBBBBABAZYY-11.07.2016 8@33@591238518@@@@@8A12-EDB4.randomname-BUAAFFEDDBAZZZABAZAAKKIIIHGHGE.JRY.cbf"  Только у нас оказалась очень настойчивая секретарь, которая скачала это "вложение" 4 раза возможно столько же раз запустила(хотя может это и не имеет значения). Помогите пожалуйста избавиться от дряни как восстановить файлы

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • gulyeza
      [РЕШЕНО] Скачал и запустил Trojan
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • KL FC Bot
      Фишинговое письмо с HR-гайдлайнами | Блог Касперского
      Автор KL FC Bot
      Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
      Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
      Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
       
       
      View the full article
    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • Garguha
      [РЕШЕНО] Два dwm.exe процесса один из которых скрытый майнер
      Автор Garguha
      Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы.
      CollectionLog-2025.07.18-20.40.zip
    • Erhogg
      Kaspersky Plus скачал обновление, но не обновляется
      Автор Erhogg
      Здравствуйте, такая проблема: сегодня заметил, что Kaspersky Plus скачал обновление, но почему-то не обновился и не обновляется. Что делать? Может, есть какая-то возможность запустить обновление вручную? 
×
×
  • Создать...