Тоже Da Vinci Code

[renigat]

Добрый вечер, помогите если сможете. Принесли бук на ремонт, рабочий, куча документов, фото, видео.

Все зашифровано. Образца письма нет(даже и не знают письмо ли это было).КVRT прогнал, ни чего найдено. Фаил архив прилагаю. CollectionLog-2016.09.08-22.34.zip

[thyrex]

Выполните скрипт в AVZ

begin
 DeleteService('QMUdisk');
 DeleteService('TS888');
 DeleteService('TSSK');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.8.16208.227\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.8.16208.227\TS888.sys','32');
 DeleteFile('C:\Windows\system32\tssk.sys','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

[renigat]

Доброе утро

Выполнил скрипт.

Еще раз прогнал утилитой для сбора логов.

Сам архив: CollectionLog-2016.09.09-07.13.zip

 

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[renigat]

Простите, пришлось уехать в другой город на пару дней.

Вот архив с двумя фаилами Otchet.zip

[thyrex]

Я тоже в отъезде, поэтому с ответами могут быть задержки

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2016-09-02 15:21 - 2016-09-02 15:21 - 3148854 _____ () C:\Users\Лена\AppData\Roaming\0274517602745176.bmp
2016-09-02 14:37 - 2016-09-02 15:50 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-02 14:37 - 2016-09-02 15:50 - 00000000 __SHD C:\ProgramData\Windows
2016-09-02 14:37 - 2016-09-02 14:37 - 00002718 _____ C:\README9.txt
2016-09-02 14:37 - 2016-09-02 14:37 - 00002718 _____ C:\README8.txt
2016-09-02 14:37 - 2016-09-02 14:37 - 00002718 _____ C:\README7.txt
2016-09-02 14:37 - 2016-09-02 14:37 - 00002718 _____ C:\README6.txt
2016-09-02 14:37 - 2016-09-02 14:37 - 00002718 _____ C:\README5.txt
2016-09-02 14:37 - 2016-09-02 14:37 - 00002718 _____ C:\README4.txt
2016-09-02 14:37 - 2016-09-02 14:37 - 00002718 _____ C:\README3.txt
2016-09-02 14:37 - 2016-09-02 14:37 - 00002718 _____ C:\README2.txt
2016-09-02 14:37 - 2016-09-02 14:37 - 00002718 _____ C:\README10.txt
2016-09-02 14:37 - 2016-09-02 14:37 - 00002718 _____ C:\README1.txt
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.oursurfing.com/?type=hp&ts=1447329982&z=03f7749e070340ff5e5e36bg6z1zcm0c5o5tateb7o&from=amt&uid=wdcxwd3200lpcx-24c6ht0_wd-wx81e73rxcj2rxcj2
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1447329982&z=03f7749e070340ff5e5e36bg6z1zcm0c5o5tateb7o&from=amt&uid=wdcxwd3200lpcx-24c6ht0_wd-wx81e73rxcj2rxcj2&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1447329982&z=03f7749e070340ff5e5e36bg6z1zcm0c5o5tateb7o&from=amt&uid=wdcxwd3200lpcx-24c6ht0_wd-wx81e73rxcj2rxcj2
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1447329982&z=03f7749e070340ff5e5e36bg6z1zcm0c5o5tateb7o&from=amt&uid=wdcxwd3200lpcx-24c6ht0_wd-wx81e73rxcj2rxcj2&q={searchTerms}
HKU\S-1-5-21-1376851253-507692616-1715677575-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1447329982&z=03f7749e070340ff5e5e36bg6z1zcm0c5o5tateb7o&from=amt&uid=wdcxwd3200lpcx-24c6ht0_wd-wx81e73rxcj2rxcj2
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1447329982&z=03f7749e070340ff5e5e36bg6z1zcm0c5o5tateb7o&from=amt&uid=wdcxwd3200lpcx-24c6ht0_wd-wx81e73rxcj2rxcj2&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1447329982&z=03f7749e070340ff5e5e36bg6z1zcm0c5o5tateb7o&from=amt&uid=wdcxwd3200lpcx-24c6ht0_wd-wx81e73rxcj2rxcj2&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1376851253-507692616-1715677575-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1447329982&z=03f7749e070340ff5e5e36bg6z1zcm0c5o5tateb7o&from=amt&uid=wdcxwd3200lpcx-24c6ht0_wd-wx81e73rxcj2rxcj2&q={searchTerms}
BHO: Visual Bookmarks -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1376851253-507692616-1715677575-1000 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[renigat]

Готово Fixlog.txt

[thyrex]

С расшифровкой помочь не сможем

[renigat]

А если куплю Касперского смогут помочь, дишефровать? И если да то какую версию покупать?

[thyrex]

На данный момент расшифровки этого варианта нет ни в одном вирлабе и вряд ли появится