Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик Trojan-Ransom

Иван55
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
 

  • Скачайте Revo Uninstaller Portable отсюда и сохраните архив с утилитой на Рабочем столе
  • Распакуйте архив с утилитой в новую папку
  • Запустите от имени Администратора RevoUPort, примите условия лицензионного соглашения нажав OK
  • Откройте Options и в графе Current language выберите русский язык
  • По очереди удалите программы перечисленные в этом списке 

    
Cezurity Antivirus Scanner
    
Cezurity Antivirus Scanner v4.2
    
ConvertAd
    
Guard.Mail.ru
    
HomePageDefender
    
ImageCropResize
    
Search App by Ask
    
Time tasks
    
Unity Web Player
    
VK Downloader
    
Интернет
    
Кнопка "Яндекс" на панели задач
    
Служба автоматического обновления программ
  • Во время удаления программы будет запущен штатный деинсталлятор, который по окончанию работы предложит удалить остатки программы
  • В качестве режима сканирования оставьте Умеренный и щелкните Далее
  • Если в процессе поиска будут найдены остатки программы, то нажмите Удалить, а потом Готово
  • Проделайте аналогичную операцию со остальными программами из списка.


 

 



Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.

 

Иван55

Иван55

Опубликовано
  • Автор
Опубликовано

Могу отправить письмо, с которого вирус (предположительно) Адрес?


Лог:

# AdwCleaner v6.030 - Отчёт создан 11/11/2016 в 16:22:03
# Обновлено 19/10/2016 by Malwarebytes
# База данных : 2016-11-10.1 [Сервер]
# Операционная система : Windows 7 Ultimate Service Pack 1 (X64)
# Имя пользователя : admin - ADMIN-ПК
# Запущено из : D:\downloads\adwcleaner_6.030.exe
# Режим: Сканирование
 
 
 
***** [ Службы ] *****
 
Найдена служба: APNMCP
Найдена служба: bd0001
Найдена служба: bd0002
Найдена служба: bd0004
Найдена служба: BDArKit
Найдена служба: BDMRTP
Найдена служба: BDMWrench
Найдена служба: BDMWrench_x64
Найдена служба: BDSafeBrowser
Найдена служба: BDSGRTP
 
 
***** [ Папки ] *****
 
Найдена папка: C:\Users\admin\AppData\Roaming\newSI_611
Найдена папка: C:\Users\admin\AppData\Roaming\newSI_620
Найдена папка: C:\Users\admin\AppData\Local\Amigo
Найдена папка: C:\Users\admin\AppData\Local\AskPartnerNetwork
Найдена папка: C:\Users\admin\AppData\Local\MailRu
Найдена папка: C:\Users\admin\AppData\Local\wincheck
Найдена папка: C:\Users\admin\AppData\Roaming\etranslator
Найдена папка: C:\Users\admin\AppData\Roaming\serv
Найдена папка: C:\Users\admin\AppData\Roaming\VOPackage
Найдена папка: C:\Users\admin\AppData\Roaming\MailProducts
Найдена папка: C:\Users\admin\AppData\Roaming\ASPackage
Найдена папка: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
Найдена папка: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZAXAR GAMES BROWSER
Найдена папка: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
Найдена папка: C:\ProgramData\apn
Найдена папка: C:\ProgramData\AskPartnerNetwork
Найдена папка: C:\ProgramData\UpdateCommon
Найдена папка: C:\ProgramData\WindowsMangerProtect
Найдена папка: C:\ProgramData\Application Data\apn
Найдена папка: C:\ProgramData\Application Data\AskPartnerNetwork
Найдена папка: C:\ProgramData\Application Data\UpdateCommon
Найдена папка: C:\ProgramData\Application Data\WindowsMangerProtect
Найдена папка: C:\Program Files (x86)\advplugin
Найдена папка: C:\Program Files (x86)\AskPartnerNetwork
Найдена папка: C:\Program Files (x86)\Conduit
Найдена папка: C:\Program Files (x86)\Mail.Ru
Найдена папка: C:\Program Files (x86)\Max Driver Updater
Найдена папка: C:\Windows\SysWOW64\MailProducts
Найдена папка: C:\Users\admin\AppData\Local\Temp\apn
Найдена папка: C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\MailProducts
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\kppacdmmddediahklmcgkgdhhoojemmd
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pganlglbhgfjfgopijbhemcpbehjnpia
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\cegdomhocaeoedbdpfolmgjkjaijfomo
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbjjfiihgfegniolckphpnfaokdkbmdm
 
 
***** [ Файлы ] *****
 
Найден файл: C:\Users\admin\Favorites\Mail.Ru.url
Найден файл: C:\Users\admin\Favorites\Mail.Ru Агент - используй для общения!.url
Найден файл: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
Найден файл: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
Найден файл: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет.lnk
Найден файл: C:\Windows\SysNative\drivers\bd0001.sys
Найден файл: C:\Windows\SysNative\drivers\BDArKit.SYS
Найден файл: C:\Windows\SysNative\drivers\BDMWrench_x64.sys
Найден файл: C:\iехplоrе.bаt.exe
Найден файл: C:\Windows\SysWOW64\drivers\BDArKit.SYS
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_kppacdmmddediahklmcgkgdhhoojemmd_0.localstorage
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_kppacdmmddediahklmcgkgdhhoojemmd_0.localstorage-journal
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_jedelkhanefmcnpappfhachbpnlhomai_0.localstorage
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_pganlglbhgfjfgopijbhemcpbehjnpia_0.localstorage
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_pganlglbhgfjfgopijbhemcpbehjnpia_0.localstorage-journal
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cegdomhocaeoedbdpfolmgjkjaijfomo_0.localstorage
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_oelpkepjlgmehajehfeicfbjdiobdkfj_0.localstorage
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bgcifljfapbhgiehkjlckfjmgeojijcb_0.localstorage
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_lbjjfiihgfegniolckphpnfaokdkbmdm_0.localstorage
 
 
***** [ DLL ] *****
 
Вредоносных DLL не найдено.
 
 
***** [ WMI ] *****
 
Не найдено вирусных ключей.
 
 
***** [ Ярлыки ] *****
 
Не найдено заражённых ярлыков.
 
 
***** [ Запланированные задания ] *****
 
Найдена задача: {B36C2883-2744-4519-AAC1-9527A49C6EEB}
 
 
***** [ Реестр ] *****
 
Найден ключ: HKLM\SOFTWARE\Classes\Toolbar.CT2312123
Найден ключ: HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\WindowsMangerProtect
Найден ключ: [x64] HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\WindowsMangerProtect
Найден ключ: HKLM\SOFTWARE\Classes\BDDownloadProxy.Downloader
Найден ключ: HKLM\SOFTWARE\Classes\BDDownloadProxy.Downloader.1
Найден ключ: HKLM\SOFTWARE\Classes\metnsd
Найден ключ: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
Найден ключ: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
Найден ключ: HKLM\SOFTWARE\Classes\speedupmypc
Найден ключ: [x64] HKLM\SOFTWARE\Classes\BDDownloadProxy.Downloader
Найден ключ: [x64] HKLM\SOFTWARE\Classes\BDDownloadProxy.Downloader.1
Найден ключ: [x64] HKLM\SOFTWARE\Classes\metnsd
Найден ключ: [x64] HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
Найден ключ: [x64] HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
Найден ключ: [x64] HKLM\SOFTWARE\Classes\speedupmypc
Найден ключ: HKLM\SOFTWARE\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{91B5E4DE-4C97-41CD-9F94-84BFAABB7371}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{B9D64D3B-BE75-4FA2-B94A-C4AE772A0146}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{AE3D5C7A-413F-4CDB-9331-0E1894637310}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{6B3732AA-F6D4-4F16-9E22-49EDC52C9514}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
Найден ключ: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE3D5C7A-413F-4CDB-9331-0E1894637310}
Найден параметр: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{0633EE93-D776-472F-A0FF-E1416B8B2E3D}]
Найден ключ: HKU\.DEFAULT\Software\AskPartnerNetwork
Найден ключ: HKU\.DEFAULT\Software\Mail.Ru
Найден ключ: HKU\.DEFAULT\Software\Amigo
Найден ключ: HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\AskPartnerNetwork
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\InstallCore
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\SupHpUISoft
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\TutoTag
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Amigo
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\MICROSOFT\IDSC
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\AppDataLow\Software\Conduit
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\AppDataLow\Software\Mail.Ru
Найден ключ: HKU\S-1-5-18\Software\AskPartnerNetwork
Найден ключ: HKU\S-1-5-18\Software\Mail.Ru
Найден ключ: HKU\S-1-5-18\Software\Amigo
Найден ключ: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
Найден ключ: HKCU\Software\AskPartnerNetwork
Найден ключ: HKCU\Software\InstallCore
Найден ключ: HKCU\Software\SupHpUISoft
Найден ключ: HKCU\Software\TutoTag
Найден ключ: HKCU\Software\Amigo
Найден ключ: HKCU\Software\MICROSOFT\IDSC
Найден ключ: HKCU\Software\AppDataLow\Software\Conduit
Найден ключ: HKCU\Software\AppDataLow\Software\Mail.Ru
Найден ключ: HKLM\SOFTWARE\AskPartnerNetwork
Найден ключ: HKLM\SOFTWARE\Conduit
Найден ключ: HKLM\SOFTWARE\GAMESDESKTOP
Найден ключ: HKLM\SOFTWARE\omiga-plusSoftware
Найден ключ: HKLM\SOFTWARE\Tutorials
Найден ключ: HKLM\SOFTWARE\Mail.Ru
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ASPackage
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wincheck
Найден ключ: [x64] HKCU\Software\AskPartnerNetwork
Найден ключ: [x64] HKCU\Software\InstallCore
Найден ключ: [x64] HKCU\Software\SupHpUISoft
Найден ключ: [x64] HKCU\Software\TutoTag
Найден ключ: [x64] HKCU\Software\Amigo
Найден ключ: [x64] HKCU\Software\MICROSOFT\IDSC
Найден ключ: [x64] HKCU\Software\AppDataLow\Software\Conduit
Найден ключ: [x64] HKCU\Software\AppDataLow\Software\Mail.Ru
Найдено значение: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\Main [search Page] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&te
Найдено значение: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\Main [start Page] - hxxp://mail.ru/cnt/10445?gp=821687
Найдено значение: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf86399
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\Main [search Page] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&text={searchTerms}
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\Main [start Page] - hxxp://mail.ru/cnt/10445?gp=821687
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&text={searchTerms}
Найдено значение: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1418901499&from=cor&uid=WDCXWD5000AADS-00S9B0_WD-WCAV9E63221632216&q={searchTerms}
Найдено значение: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [search Page] - hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1418901499&from=cor&uid=WDCXWD5000AADS-00S9B0_WD-WCAV9E63221632216&q={searchTerms}
Найдено значение: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [CustomizeSearch] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&text=
Найдено значение: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [searchAssistant] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&text=
Найдено значение: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [search Page] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&text={searchTerms}
Найдено значение: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [start Page] - hxxp://mail.ru/cnt/10445?gp=821687
Найдено значение: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&text={searchTerms}
Найдено значение: [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1418901499&from=cor&uid=WDCXWD5000AADS-00S9B0_WD-WCAV9E63221632216&q={searchTerms}
Найдено значение: [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [search Page] - hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1418901499&from=cor&uid=WDCXWD5000AADS-00S9B0_WD-WCAV9E63221632216&q={searchTerms}
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] - 
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] - 
Найден ключ: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Найден ключ: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}
Найден ключ: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}
Найден ключ: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Найден ключ: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] - 
Найдено значение: HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command [Default] - "C:\Program Files (x86)\Internet Explorer\iexplore.exe"
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\hao123.com
Найден ключ: [x64] HKCU\Software\Microsoft\Internet Explorer\DOMStorage\hao123.com
Найден ключ: [x64] HKLM\SOFTWARE\Microsoft\Shared Tools\MsConfig\StartupReg\amigo
Найден параметр: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnTBMon]
Найден ключ: HKLM\SOFTWARE\Classes\AppID\DownloadProxy.EXE
Найден ключ: HKLM\SOFTWARE\Google\Chrome\NativeMessagingHosts\com.apn.native_messaging_host_aaaaaiabcopkplhgaedhbloeejhhankf
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf
Найден ключ: [x64] HKLM\SOFTWARE\Google\Chrome\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\hcncjpganfocbfoenaemagjjopkkindp
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\kppacdmmddediahklmcgkgdhhoojemmd
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\gdknicmnhbaajdglbinpahhapghpakch
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\jedelkhanefmcnpappfhachbpnlhomai
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\pganlglbhgfjfgopijbhemcpbehjnpia
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\cegdomhocaeoedbdpfolmgjkjaijfomo
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\lbjjfiihgfegniolckphpnfaokdkbmdm
 
 
***** [ Веб браузеры ] *****
 
В браузерах на основе Firefox вредоносных элементов не найдено.
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Web data] - search.conduit.com
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://mail.ru/cnt/10445?gp=811021
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - aaaaaiabcopkplhgaedhbloeejhhankf
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - bgcifljfapbhgiehkjlckfjmgeojijcb
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - cegdomhocaeoedbdpfolmgjkjaijfomo
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - gdknicmnhbaajdglbinpahhapghpakch
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - jedelkhanefmcnpappfhachbpnlhomai
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - kppacdmmddediahklmcgkgdhhoojemmd
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - lbjjfiihgfegniolckphpnfaokdkbmdm
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - oelpkepjlgmehajehfeicfbjdiobdkfj
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - pganlglbhgfjfgopijbhemcpbehjnpia
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - hxxp://mail.ru/cnt/10445?gp=821687
 
*************************
 
C:\AdwCleaner\AdwCleaner[s0].txt - [21670 Байт] - [11/11/2016 16:22:03]
 
########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [21747 Байт] ##########

mike 1

mike 1

Опубликовано
Опубликовано

Люди, ау, когда же вы будете читать то, что вам пишут?

Иван55

Иван55

Опубликовано
  • Автор
Опубликовано

Люди, ау, когда же вы будете читать то, что вам пишут?

Это к письму относится или к этапу работы ?

Иван55

Иван55

Опубликовано
  • Автор
Опубликовано

тогда скажите, пожалуйста, что я сделала не так, потому что я полнейший 0 и старалась следовать всем инструкциям. прикрепить отчет не могу, потому скопировала

mike 1

mike 1

Опубликовано
Опубликовано

Вот невнимательность и губит таких как вы при работе с электронной почтой.

 

С отчетом что просили сделать?

Иван55

Иван55

Опубликовано
  • Автор
Опубликовано

прикрепить к следующему сообщению

 

Вот невнимательность и губит таких как вы при работе с электронной почтой.

С отчетом что просили сделать?


Так?

AdwCleanerS0.txt

mike 1

mike 1

Опубликовано
Опубликовано

Наконец-то. 

 

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Подробнее читайте в этом руководстве.
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано
Скрипт выполняйте в безопасном режиме

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [gmsd_ru_103] => [X]

GroupPolicy: Restriction <======= ATTENTION

GroupPolicy\User: Restriction <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

URLSearchHook: HKLM-x32 - HiGames Toolbar - {64d23501-5195-4224-9446-e2b0fb64e859} - C:\Program Files (x86)\HiGames\tbHiGa.dll (Conduit Ltd.)

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1418901499&from=cor&uid=WDCXWD5000AADS-00S9B0_WD-WCAV9E63221632216

CHR Extension: (VK скачать) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ppklmjenijnmjmibkaoaimbdobmalbko [2015-12-09]

R2 BDSGRTP; C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.635\BaiduProtect.exe [1940072 2014-12-01] (百度在线网络技术(北京)有限公司)

R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [181072 2014-12-15] (Baidu)

R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [169288 2014-11-30] (Baidu)

R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [152392 2014-12-27] (Baidu Technology)

R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [130888 2014-12-23] (Baidu)

S1 bd0002; system32\DRIVERS\bd0002.sys [X]

S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]

S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]

S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]

S1 BDSafeBrowser; system32\drivers\BDSafeBrowser.sys [X]

2016-11-10 19:55 - 2016-11-11 07:38 - 00000000 __SHD C:\Users\Все пользователи\Csrss

2016-11-10 19:55 - 2016-11-11 07:38 - 00000000 __SHD C:\ProgramData\Csrss

2016-11-10 19:55 - 2016-11-10 19:55 - 03148854 _____ C:\Users\admin\AppData\Roaming\2D601F802D601F80.bmp

2016-11-09 22:04 - 2016-11-11 07:40 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-09 22:04 - 2016-11-11 07:40 - 00000000 __SHD C:\ProgramData\Windows

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README9.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README8.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README7.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README6.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README5.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README4.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README3.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README2.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README10.txt

2015-01-28 16:00 - 2015-01-28 16:00 - 0000171 ____H () C:\Users\admin\AppData\Roaming\YaDesktopStarter.bat

2015-01-28 16:00 - 2015-01-28 16:00 - 0000146 ____H () C:\Users\admin\AppData\Local\chrome.bat

2015-01-28 16:00 - 2013-12-06 14:39 - 0779792 ____H (The Chromium Authors) C:\Users\admin\AppData\Local\сhrоmе.bаt.exe

Task: {68E11894-DA1C-4E4B-8CAD-C0C777336819} - System32\Tasks\newSI_611 => C:\Users\admin\AppData\Roaming\newSI_611\s_inst.exe

Task: {E4A9F98C-9F54-498E-9119-46DB8F4CAAF8} - System32\Tasks\newSI_620 => C:\Users\admin\AppData\Roaming\newSI_620\s_inst.exe

Task: C:\Windows\Tasks\newSI_611.job => C:\Users\admin\AppData\Roaming\newSI_611\s_inst.exe

Task: C:\Windows\Tasks\newSI_620.job => C:\Users\admin\AppData\Roaming\newSI_620\s_inst.exe

IE trusted site: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\...\baidu.com -> hxxp://baidu.com

C:\Program Files (x86)\Common Files\Baidu



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • chkof
      no_more_ransom
      Автор chkof
      Добрый день!
      Знакомая словила по почте вирус, который зашифровал файлы на диске. Мошенники за восстановление запросили 11тр. Есть ли возможность восстановить с вашей помощью данные? Лог по инструкции прикрепляю. Cureit обнаружил 8 вирусов, перенес в карантин.
      ПОМОГИТЕ!
      CollectionLog-2016.12.24-12.36.zip
    • Алексей Ганин
      Зашифровались все файлы после открытия почты *.no_more_ransom.
      Автор Алексей Ганин
      Зашифровались все файлы после открытия почты *.no_more_ransom.
       
      Прошел вот эту процедуру http://prntscr.com/dllhyf

      На момент зарожения антивирус касперского был установлен но почему то был выключен, был установлен internet security. Пользователь сам что то намудрил, я его удалил и поставил kaspersky endpoint security 2010 как на всех компьютерах.
       
      Прикрепляю реадми и 3 фала для примера
       
       

      Прочитал что еще нужно прикрепить лицензию на каспера, но у нас ключ на 38 компьютеров, не нашел как его можно прикрепить
      FRST.txt
      Addition.txt
      на отправку.rar
    • Romcop
      Получил no_more_ransom
      Автор Romcop
      С Наступающим НГ!
       
      Сердобольный пользователь переслал в бухгалтерию письмо "результаты камеральной проверки(уведомление". Ответственный бухгалтер хоть и был предупрежден, что нельзя открывать почту от незнакомых адресов, но открыл, так как думал, что почта от своего. Ну и получил шифрование файлов и README1.TXT.....README10.TXT на исках С и D с блокировкой от no_more_ramson.
      Возможно, что и второй бухгалтер на своем заходила по ссылкам из письма, но пока проявления шифрования не видно.
       
      Смущает, что с помощью KVRT проверил зараженный компьютер, а он не нашел угроз. Поэтому и второй компьютер может быть заражен. 
       
      Я так понял, что расшифровать файлы не удастся, но хотя бы полечиться.
       
      CollectionLog-2016.12.28-18.53.zip
      report1.log
      report2.log
      README1.txt
    • Romcop
      2-й компьютер с NO_MORE_RAMSON
      Автор Romcop
      С Наступающим!
       
      На 2-м компьютере бухгалтерии. Зашифрованы файлы на диске С частично, на Е (восстановление системы) практически полностью. На сетевые диски тоже навалил README... Вообщем, отключил сеть, вошел под администратором, проверил KVRT, включил AutoLogger. Результаты Autologger`а. 
      CollectionLog-2016.12.29-12.39.zip
      report1.log
      report2.log
    • pgm
      Шифровальщик no_more_ransom
      Автор pgm
      Здравствуйте.
      23.12.2016 поймали на шифровальщик, который зашифровал все фото, документы и др., расширение no_more_ransom.
      В почту пришло письмо якобы от банка и т.д. с .js файлом.
      Архив с письмом проверен Касперским. Файл был извлечен из архива и опять проверен касперским и был запущен 22.12.2016.
      23.12.2016  все файлы были зашифрованы прежде чем Касперский обнаружил заражение.
       
      Ключ Касперского 4EC8AA55.key
       
      Что делать?
      Содержание файла README1.txt
       
      Baши фaйлы были зaшифровaны.
      Чmoбы рacшифрoвamь ux, Вам необxoдuмо отпpaвumь кoд:
      5CDAE1B63491DA3A3BF1|759|6|40
      на элekтpoнный адpeс lukyan.sazonov26@gmail.com .
      Далеe вы nолучume вcе необxoдuмыe uнстрyкции.
      Пoпытku pacшuфpовaть сaмocmoятeльнo нe nрuвeдyт нu k чeму, kрoме бeзвозвpатной поmери uнфоpмацuu.
      Если вы всё жe xоmитe nопытamься, mо npeдваpumельнo cдeлaйте резеpвныe кonuи фaйлов, uнaче в cлyчаe
      иx изменeнuя рaсшuфровкa сmанem невoзможнoй ни nрu kaкux yсловияx.
      Ecли вы не nолyчили отвеma no вышеyказанномy адpeсу в теченue 48 часов (и moлько в этoм cлyчаe!),
      вocnoльзуйmeсь фоpмой обратной связu. Эmо можнo сделать двумя споcобами:
      1) Скaчaйтe и устанoвuте Tor Browser пo ссылke: https://www.torproje...ad-easy.html.en
      В адpеснoй cтpokе Tor Browser-a ввeдuте адрес:
      http://cryptsen7fo43rr6.onion/
      u нaжмumе Enter. 3arрузитcя cтрaнuца с фopмoй обpamнoй связu.
      2) В любoм бpаyзерe пеpейдume nо однoму uз aдpесoв:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
       
×
×
  • Создать...