Перейти к содержанию

Шифровальщик Trojan-Ransom

Иван55
 Поделиться

Рекомендуемые сообщения

mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
 

  • Скачайте Revo Uninstaller Portable отсюда и сохраните архив с утилитой на Рабочем столе
  • Распакуйте архив с утилитой в новую папку
  • Запустите от имени Администратора RevoUPort, примите условия лицензионного соглашения нажав OK
  • Откройте Options и в графе Current language выберите русский язык
  • По очереди удалите программы перечисленные в этом списке 

    
Cezurity Antivirus Scanner
    
Cezurity Antivirus Scanner v4.2
    
ConvertAd
    
Guard.Mail.ru
    
HomePageDefender
    
ImageCropResize
    
Search App by Ask
    
Time tasks
    
Unity Web Player
    
VK Downloader
    
Интернет
    
Кнопка "Яндекс" на панели задач
    
Служба автоматического обновления программ
  • Во время удаления программы будет запущен штатный деинсталлятор, который по окончанию работы предложит удалить остатки программы
  • В качестве режима сканирования оставьте Умеренный и щелкните Далее
  • Если в процессе поиска будут найдены остатки программы, то нажмите Удалить, а потом Готово
  • Проделайте аналогичную операцию со остальными программами из списка.


 

 



Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты
Иван55 Новичок

Иван55

Опубликовано
  • Автор
Опубликовано

Могу отправить письмо, с которого вирус (предположительно) Адрес?


Лог:

# AdwCleaner v6.030 - Отчёт создан 11/11/2016 в 16:22:03
# Обновлено 19/10/2016 by Malwarebytes
# База данных : 2016-11-10.1 [Сервер]
# Операционная система : Windows 7 Ultimate Service Pack 1 (X64)
# Имя пользователя : admin - ADMIN-ПК
# Запущено из : D:\downloads\adwcleaner_6.030.exe
# Режим: Сканирование
 
 
 
***** [ Службы ] *****
 
Найдена служба: APNMCP
Найдена служба: bd0001
Найдена служба: bd0002
Найдена служба: bd0004
Найдена служба: BDArKit
Найдена служба: BDMRTP
Найдена служба: BDMWrench
Найдена служба: BDMWrench_x64
Найдена служба: BDSafeBrowser
Найдена служба: BDSGRTP
 
 
***** [ Папки ] *****
 
Найдена папка: C:\Users\admin\AppData\Roaming\newSI_611
Найдена папка: C:\Users\admin\AppData\Roaming\newSI_620
Найдена папка: C:\Users\admin\AppData\Local\Amigo
Найдена папка: C:\Users\admin\AppData\Local\AskPartnerNetwork
Найдена папка: C:\Users\admin\AppData\Local\MailRu
Найдена папка: C:\Users\admin\AppData\Local\wincheck
Найдена папка: C:\Users\admin\AppData\Roaming\etranslator
Найдена папка: C:\Users\admin\AppData\Roaming\serv
Найдена папка: C:\Users\admin\AppData\Roaming\VOPackage
Найдена папка: C:\Users\admin\AppData\Roaming\MailProducts
Найдена папка: C:\Users\admin\AppData\Roaming\ASPackage
Найдена папка: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
Найдена папка: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZAXAR GAMES BROWSER
Найдена папка: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
Найдена папка: C:\ProgramData\apn
Найдена папка: C:\ProgramData\AskPartnerNetwork
Найдена папка: C:\ProgramData\UpdateCommon
Найдена папка: C:\ProgramData\WindowsMangerProtect
Найдена папка: C:\ProgramData\Application Data\apn
Найдена папка: C:\ProgramData\Application Data\AskPartnerNetwork
Найдена папка: C:\ProgramData\Application Data\UpdateCommon
Найдена папка: C:\ProgramData\Application Data\WindowsMangerProtect
Найдена папка: C:\Program Files (x86)\advplugin
Найдена папка: C:\Program Files (x86)\AskPartnerNetwork
Найдена папка: C:\Program Files (x86)\Conduit
Найдена папка: C:\Program Files (x86)\Mail.Ru
Найдена папка: C:\Program Files (x86)\Max Driver Updater
Найдена папка: C:\Windows\SysWOW64\MailProducts
Найдена папка: C:\Users\admin\AppData\Local\Temp\apn
Найдена папка: C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\MailProducts
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\kppacdmmddediahklmcgkgdhhoojemmd
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pganlglbhgfjfgopijbhemcpbehjnpia
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\cegdomhocaeoedbdpfolmgjkjaijfomo
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb
Найдена папка: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbjjfiihgfegniolckphpnfaokdkbmdm
 
 
***** [ Файлы ] *****
 
Найден файл: C:\Users\admin\Favorites\Mail.Ru.url
Найден файл: C:\Users\admin\Favorites\Mail.Ru Агент - используй для общения!.url
Найден файл: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
Найден файл: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
Найден файл: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет.lnk
Найден файл: C:\Windows\SysNative\drivers\bd0001.sys
Найден файл: C:\Windows\SysNative\drivers\BDArKit.SYS
Найден файл: C:\Windows\SysNative\drivers\BDMWrench_x64.sys
Найден файл: C:\iехplоrе.bаt.exe
Найден файл: C:\Windows\SysWOW64\drivers\BDArKit.SYS
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_kppacdmmddediahklmcgkgdhhoojemmd_0.localstorage
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_kppacdmmddediahklmcgkgdhhoojemmd_0.localstorage-journal
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_jedelkhanefmcnpappfhachbpnlhomai_0.localstorage
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_pganlglbhgfjfgopijbhemcpbehjnpia_0.localstorage
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_pganlglbhgfjfgopijbhemcpbehjnpia_0.localstorage-journal
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cegdomhocaeoedbdpfolmgjkjaijfomo_0.localstorage
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_oelpkepjlgmehajehfeicfbjdiobdkfj_0.localstorage
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bgcifljfapbhgiehkjlckfjmgeojijcb_0.localstorage
Найден файл: C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_lbjjfiihgfegniolckphpnfaokdkbmdm_0.localstorage
 
 
***** [ DLL ] *****
 
Вредоносных DLL не найдено.
 
 
***** [ WMI ] *****
 
Не найдено вирусных ключей.
 
 
***** [ Ярлыки ] *****
 
Не найдено заражённых ярлыков.
 
 
***** [ Запланированные задания ] *****
 
Найдена задача: {B36C2883-2744-4519-AAC1-9527A49C6EEB}
 
 
***** [ Реестр ] *****
 
Найден ключ: HKLM\SOFTWARE\Classes\Toolbar.CT2312123
Найден ключ: HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\WindowsMangerProtect
Найден ключ: [x64] HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\WindowsMangerProtect
Найден ключ: HKLM\SOFTWARE\Classes\BDDownloadProxy.Downloader
Найден ключ: HKLM\SOFTWARE\Classes\BDDownloadProxy.Downloader.1
Найден ключ: HKLM\SOFTWARE\Classes\metnsd
Найден ключ: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
Найден ключ: HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
Найден ключ: HKLM\SOFTWARE\Classes\speedupmypc
Найден ключ: [x64] HKLM\SOFTWARE\Classes\BDDownloadProxy.Downloader
Найден ключ: [x64] HKLM\SOFTWARE\Classes\BDDownloadProxy.Downloader.1
Найден ключ: [x64] HKLM\SOFTWARE\Classes\metnsd
Найден ключ: [x64] HKLM\SOFTWARE\Classes\OCComSDK.ComSDK
Найден ключ: [x64] HKLM\SOFTWARE\Classes\OCComSDK.ComSDK.1
Найден ключ: [x64] HKLM\SOFTWARE\Classes\speedupmypc
Найден ключ: HKLM\SOFTWARE\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{91B5E4DE-4C97-41CD-9F94-84BFAABB7371}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{B9D64D3B-BE75-4FA2-B94A-C4AE772A0146}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
Найден ключ: HKLM\SOFTWARE\Classes\CLSID\{AE3D5C7A-413F-4CDB-9331-0E1894637310}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{6B3732AA-F6D4-4F16-9E22-49EDC52C9514}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}
Найден ключ: HKLM\SOFTWARE\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
Найден ключ: HKLM\SOFTWARE\Classes\TypeLib\{1112F282-7099-4624-A439-DB29D6551552}
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E8F97CD-60B5-456F-A201-73065652D099}
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE3D5C7A-413F-4CDB-9331-0E1894637310}
Найден параметр: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{0633EE93-D776-472F-A0FF-E1416B8B2E3D}]
Найден ключ: HKU\.DEFAULT\Software\AskPartnerNetwork
Найден ключ: HKU\.DEFAULT\Software\Mail.Ru
Найден ключ: HKU\.DEFAULT\Software\Amigo
Найден ключ: HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\AskPartnerNetwork
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\InstallCore
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\SupHpUISoft
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\TutoTag
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Amigo
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\MICROSOFT\IDSC
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\AppDataLow\Software\Conduit
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\AppDataLow\Software\Mail.Ru
Найден ключ: HKU\S-1-5-18\Software\AskPartnerNetwork
Найден ключ: HKU\S-1-5-18\Software\Mail.Ru
Найден ключ: HKU\S-1-5-18\Software\Amigo
Найден ключ: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
Найден ключ: HKCU\Software\AskPartnerNetwork
Найден ключ: HKCU\Software\InstallCore
Найден ключ: HKCU\Software\SupHpUISoft
Найден ключ: HKCU\Software\TutoTag
Найден ключ: HKCU\Software\Amigo
Найден ключ: HKCU\Software\MICROSOFT\IDSC
Найден ключ: HKCU\Software\AppDataLow\Software\Conduit
Найден ключ: HKCU\Software\AppDataLow\Software\Mail.Ru
Найден ключ: HKLM\SOFTWARE\AskPartnerNetwork
Найден ключ: HKLM\SOFTWARE\Conduit
Найден ключ: HKLM\SOFTWARE\GAMESDESKTOP
Найден ключ: HKLM\SOFTWARE\omiga-plusSoftware
Найден ключ: HKLM\SOFTWARE\Tutorials
Найден ключ: HKLM\SOFTWARE\Mail.Ru
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ASPackage
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage
Найден ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wincheck
Найден ключ: [x64] HKCU\Software\AskPartnerNetwork
Найден ключ: [x64] HKCU\Software\InstallCore
Найден ключ: [x64] HKCU\Software\SupHpUISoft
Найден ключ: [x64] HKCU\Software\TutoTag
Найден ключ: [x64] HKCU\Software\Amigo
Найден ключ: [x64] HKCU\Software\MICROSOFT\IDSC
Найден ключ: [x64] HKCU\Software\AppDataLow\Software\Conduit
Найден ключ: [x64] HKCU\Software\AppDataLow\Software\Mail.Ru
Найдено значение: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\Main [search Page] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&te
Найдено значение: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\Main [start Page] - hxxp://mail.ru/cnt/10445?gp=821687
Найдено значение: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf86399
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\Main [search Page] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&text={searchTerms}
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\Main [start Page] - hxxp://mail.ru/cnt/10445?gp=821687
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&text={searchTerms}
Найдено значение: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1418901499&from=cor&uid=WDCXWD5000AADS-00S9B0_WD-WCAV9E63221632216&q={searchTerms}
Найдено значение: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [search Page] - hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1418901499&from=cor&uid=WDCXWD5000AADS-00S9B0_WD-WCAV9E63221632216&q={searchTerms}
Найдено значение: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [CustomizeSearch] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&text=
Найдено значение: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [searchAssistant] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&text=
Найдено значение: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [search Page] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&text={searchTerms}
Найдено значение: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [start Page] - hxxp://mail.ru/cnt/10445?gp=821687
Найдено значение: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d331116c01f4da405d8ccf8639901c2&text={searchTerms}
Найдено значение: [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1418901499&from=cor&uid=WDCXWD5000AADS-00S9B0_WD-WCAV9E63221632216&q={searchTerms}
Найдено значение: [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [search Page] - hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1418901499&from=cor&uid=WDCXWD5000AADS-00S9B0_WD-WCAV9E63221632216&q={searchTerms}
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Найден ключ: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] - 
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] - 
Найден ключ: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Найден ключ: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}
Найден ключ: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}
Найден ключ: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Найден ключ: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Найдено значение: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] - 
Найдено значение: HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command [Default] - "C:\Program Files (x86)\Internet Explorer\iexplore.exe"
Найден ключ: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\hao123.com
Найден ключ: [x64] HKCU\Software\Microsoft\Internet Explorer\DOMStorage\hao123.com
Найден ключ: [x64] HKLM\SOFTWARE\Microsoft\Shared Tools\MsConfig\StartupReg\amigo
Найден параметр: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnTBMon]
Найден ключ: HKLM\SOFTWARE\Classes\AppID\DownloadProxy.EXE
Найден ключ: HKLM\SOFTWARE\Google\Chrome\NativeMessagingHosts\com.apn.native_messaging_host_aaaaaiabcopkplhgaedhbloeejhhankf
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf
Найден ключ: [x64] HKLM\SOFTWARE\Google\Chrome\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\hcncjpganfocbfoenaemagjjopkkindp
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\kppacdmmddediahklmcgkgdhhoojemmd
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\gdknicmnhbaajdglbinpahhapghpakch
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\jedelkhanefmcnpappfhachbpnlhomai
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\pganlglbhgfjfgopijbhemcpbehjnpia
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\cegdomhocaeoedbdpfolmgjkjaijfomo
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb
Найден ключ: HKLM\SOFTWARE\Google\Chrome\Extensions\lbjjfiihgfegniolckphpnfaokdkbmdm
 
 
***** [ Веб браузеры ] *****
 
В браузерах на основе Firefox вредоносных элементов не найдено.
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Web data] - search.conduit.com
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://mail.ru/cnt/10445?gp=811021
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - aaaaaiabcopkplhgaedhbloeejhhankf
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - bgcifljfapbhgiehkjlckfjmgeojijcb
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - cegdomhocaeoedbdpfolmgjkjaijfomo
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - gdknicmnhbaajdglbinpahhapghpakch
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - jedelkhanefmcnpappfhachbpnlhomai
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - kppacdmmddediahklmcgkgdhhoojemmd
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - lbjjfiihgfegniolckphpnfaokdkbmdm
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - oelpkepjlgmehajehfeicfbjdiobdkfj
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - pganlglbhgfjfgopijbhemcpbehjnpia
Найдена настройка Chromium: [C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - hxxp://mail.ru/cnt/10445?gp=821687
 
*************************
 
C:\AdwCleaner\AdwCleaner[s0].txt - [21670 Байт] - [11/11/2016 16:22:03]
 
########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [21747 Байт] ##########

Ссылка на комментарий
Поделиться на другие сайты
Иван55 Новичок

Иван55

Опубликовано
  • Автор
Опубликовано

тогда скажите, пожалуйста, что я сделала не так, потому что я полнейший 0 и старалась следовать всем инструкциям. прикрепить отчет не могу, потому скопировала

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Вот невнимательность и губит таких как вы при работе с электронной почтой.

 

С отчетом что просили сделать?

Ссылка на комментарий
Поделиться на другие сайты
Иван55 Новичок

Иван55

Опубликовано
  • Автор
Опубликовано

прикрепить к следующему сообщению

 

Вот невнимательность и губит таких как вы при работе с электронной почтой.

С отчетом что просили сделать?


Так?

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Наконец-то. 

 

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
 
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скрипт выполняйте в безопасном режиме

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [gmsd_ru_103] => [X]

GroupPolicy: Restriction <======= ATTENTION

GroupPolicy\User: Restriction <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

URLSearchHook: HKLM-x32 - HiGames Toolbar - {64d23501-5195-4224-9446-e2b0fb64e859} - C:\Program Files (x86)\HiGames\tbHiGa.dll (Conduit Ltd.)

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1418901499&from=cor&uid=WDCXWD5000AADS-00S9B0_WD-WCAV9E63221632216

CHR Extension: (VK скачать) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ppklmjenijnmjmibkaoaimbdobmalbko [2015-12-09]

R2 BDSGRTP; C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.635\BaiduProtect.exe [1940072 2014-12-01] (百度在线网络技术(北京)有限公司)

R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [181072 2014-12-15] (Baidu)

R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [169288 2014-11-30] (Baidu)

R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [152392 2014-12-27] (Baidu Technology)

R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [130888 2014-12-23] (Baidu)

S1 bd0002; system32\DRIVERS\bd0002.sys [X]

S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]

S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]

S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]

S1 BDSafeBrowser; system32\drivers\BDSafeBrowser.sys [X]

2016-11-10 19:55 - 2016-11-11 07:38 - 00000000 __SHD C:\Users\Все пользователи\Csrss

2016-11-10 19:55 - 2016-11-11 07:38 - 00000000 __SHD C:\ProgramData\Csrss

2016-11-10 19:55 - 2016-11-10 19:55 - 03148854 _____ C:\Users\admin\AppData\Roaming\2D601F802D601F80.bmp

2016-11-09 22:04 - 2016-11-11 07:40 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-09 22:04 - 2016-11-11 07:40 - 00000000 __SHD C:\ProgramData\Windows

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README9.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README8.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README7.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README6.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README5.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README4.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README3.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README2.txt

2016-11-09 22:04 - 2016-11-09 22:04 - 00004178 _____ C:\README10.txt

2015-01-28 16:00 - 2015-01-28 16:00 - 0000171 ____H () C:\Users\admin\AppData\Roaming\YaDesktopStarter.bat

2015-01-28 16:00 - 2015-01-28 16:00 - 0000146 ____H () C:\Users\admin\AppData\Local\chrome.bat

2015-01-28 16:00 - 2013-12-06 14:39 - 0779792 ____H (The Chromium Authors) C:\Users\admin\AppData\Local\сhrоmе.bаt.exe

Task: {68E11894-DA1C-4E4B-8CAD-C0C777336819} - System32\Tasks\newSI_611 => C:\Users\admin\AppData\Roaming\newSI_611\s_inst.exe

Task: {E4A9F98C-9F54-498E-9119-46DB8F4CAAF8} - System32\Tasks\newSI_620 => C:\Users\admin\AppData\Roaming\newSI_620\s_inst.exe

Task: C:\Windows\Tasks\newSI_611.job => C:\Users\admin\AppData\Roaming\newSI_611\s_inst.exe

Task: C:\Windows\Tasks\newSI_620.job => C:\Users\admin\AppData\Roaming\newSI_620\s_inst.exe

IE trusted site: HKU\S-1-5-21-385995666-2530431170-1632233558-1000\...\baidu.com -> hxxp://baidu.com

C:\Program Files (x86)\Common Files\Baidu



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • gulyeza
      [РЕШЕНО] Скачал и запустил Trojan
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • ratava
      KOZANOSTRA шифровальщик
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


×
×
  • Создать...