Вирус зашифровал файлы с расширением cripttt

[SQ]

Сами ставили ZipTool?

Удалите youndoo через установку программ в панели управления.

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  GroupPolicy\User: Restriction - Chrome <======= ATTENTION
  BHO: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll => No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @baidu.com/BaiduExpert-npplugin -> C:\Users\Рафик\AppData\Roaming\Baidu\BDWebAdapter\3.0.359.0\npBDExNP.dll [2016-08-05] (百度在线网络技术（北京）有限公司)
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  CHR HomePage: ChromeDefaultData2 -> hxxp://www.youndoo.com/?z=f721fe25e3a90a3797dba3ag2zfm9z3m2c7oee3wcz&from=amz&uid=ST3250318AS_5VM424CTXXXX5VM424CT&type=hp
  CHR StartupUrls: ChromeDefaultData2 -> "hxxp://www.youndoo.com/?z=f721fe25e3a90a3797dba3ag2zfm9z3m2c7oee3wcz&from=amz&uid=ST3250318AS_5VM424CTXXXX5VM424CT&type=hp"
  CHR DefaultSearchURL: ChromeDefaultData2 -> hxxp://www.youndoo.com/search/?q={searchTerms}&z=f721fe25e3a90a3797dba3ag2zfm9z3m2c7oee3wcz&from=amz&uid=ST3250318AS_5VM424CTXXXX5VM424CT&type=sp
  CHR DefaultSearchKeyword: ChromeDefaultData2 -> youndoo
  CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
  File: C:\Windows\system32\svchost.exe
  File: C:\Windows\SysWOW64\svchost.exe
  Zip: C:\Windows\system32\svchost.exe;C:\Windows\SysWOW64\svchost.exe
  2016-11-17 17:26 - 2016-11-17 17:27 - 00000000 ____D C:\Program Files (x86)\7ephr3ei
  2016-11-17 16:26 - 2016-11-17 16:26 - 00000000 ____D C:\Program Files (x86)\zoutxs4n
  2016-11-15 17:17 - 2016-11-16 10:52 - 00000000 ____D C:\Program Files (x86)\{201CDE68-C3F4-4E55-9E27-4C1E9EED4BBE}
  2016-11-15 17:17 - 2016-11-15 17:17 - 00000000 ____D C:\Program Files (x86)\ng9ue56v
  2016-11-15 16:57 - 2016-11-15 17:16 - 00000000 ____D C:\Program Files (x86)\{7BA72AE2-D9C0-431B-BD85-BE43BB40877A}
  2016-11-15 16:57 - 2016-11-15 16:57 - 00000000 ____D C:\Program Files (x86)\qqp0680w
  2016-11-15 16:34 - 2016-11-15 16:56 - 00000000 ____D C:\Program Files (x86)\{2185A41A-0269-4042-A53E-55CD93F31DA3}
  2016-11-15 16:34 - 2016-11-15 16:35 - 00000000 ____D C:\Program Files (x86)\tggshoby
  2016-11-15 16:15 - 2016-11-15 16:33 - 00000000 ____D C:\Program Files (x86)\{BF425B03-43E0-49C4-B335-45BD6BCB08EB}
  2016-11-15 16:15 - 2016-11-15 16:15 - 00000000 ____D C:\Program Files (x86)\3xqpmmgv
  2016-11-15 15:54 - 2016-11-15 16:14 - 00000000 ____D C:\Program Files (x86)\{F252C203-C848-4EE5-A14A-0B6140FA8B28}
  2016-11-15 15:54 - 2016-11-15 15:55 - 00000000 ____D C:\Program Files (x86)\ygaadz9u
  2016-11-15 15:10 - 2016-11-15 15:54 - 00000000 ____D C:\Program Files (x86)\{3FE7DDBE-32EE-4001-AEE4-23965F9754C0}
  2016-11-15 15:10 - 2016-11-15 15:11 - 00000000 ____D C:\Program Files (x86)\8ylcc197
  2016-11-18 14:58 - 2016-09-24 21:42 - 00000000 ____D C:\Program Files (x86)\Cluwerdomghsight
  2016-11-18 14:58 - 2016-09-24 17:36 - 00000000 ___HD C:\Users\UDPdp\UDPnp6
  2016-11-18 14:58 - 2016-09-24 17:36 - 00000000 ___HD C:\Users\UDPdp\UDPnp5
  2016-11-18 14:58 - 2016-09-24 17:36 - 00000000 ___HD C:\Users\UDPdp\UDPnp4
  2016-11-18 14:58 - 2016-09-09 22:09 - 00000000 ___HD C:\Users\MSUser.Default\Help_5
  2016-11-18 14:58 - 2016-09-09 22:09 - 00000000 ___HD C:\Users\MSUser.Default\Help_4
  2016-11-18 14:58 - 2016-09-09 22:09 - 00000000 ___HD C:\Users\MSUser.Default\Help_3
  2016-11-18 11:52 - 2016-09-10 09:38 - 00000000 ____D C:\Program Files\їмС№
  2016-11-11 18:15 - 2016-09-24 17:36 - 00000000 ___HD C:\Program Files (x86)\wjidu7kz
  2016-11-11 17:43 - 2016-09-09 22:10 - 00000000 ____D C:\Program Files (x86)\sbqh
  2016-11-11 17:41 - 2016-09-24 21:47 - 00000000 ____D C:\Program Files (x86)\Ckerlole
  2016-11-11 17:40 - 2016-09-24 21:27 - 00000000 ____D C:\Program Files\Common Files\cn5sgotk
  2016-11-11 17:40 - 2016-09-24 20:26 - 00000000 ____D C:\Program Files\Common Files\5za5cbf5
  2016-11-11 14:01 - 2016-09-09 22:09 - 00000000 ___HD C:\Users\MSUser.Default\Help_6
  2016-11-11 13:56 - 2016-09-24 17:36 - 00000000 ___HD C:\Users\UDPdp\UDPnp3
  2016-09-10 21:50 - 2016-09-24 17:39 - 7175680 _____ () C:\Users\Рафик\AppData\Roaming\agent.dat
  2016-09-24 17:38 - 2016-09-24 17:37 - 2270208 _____ () C:\Users\Рафик\AppData\Roaming\AlphaJob.exe
  2016-09-24 17:38 - 2016-09-24 17:38 - 0072828 _____ () C:\Users\Рафик\AppData\Roaming\AlphaJob.tst
  2016-09-10 21:49 - 2016-09-24 17:38 - 0054272 _____ () C:\Users\Рафик\AppData\Roaming\ApplicationHosting.dat
  2016-09-24 17:39 - 2016-09-24 17:37 - 2270208 _____ () C:\Users\Рафик\AppData\Roaming\Bluelex.exe
  2016-09-24 17:39 - 2016-09-24 17:39 - 1926611 _____ () C:\Users\Рафик\AppData\Roaming\Bluelex.tst
  2016-09-10 21:50 - 2016-09-24 17:39 - 0070704 _____ () C:\Users\Рафик\AppData\Roaming\Config.xml
  2015-12-09 21:23 - 2015-12-09 21:23 - 0005120 _____ () C:\Users\Рафик\AppData\Roaming\GiftBag.db
  2016-09-10 21:49 - 2016-09-24 17:38 - 0021168 _____ () C:\Users\Рафик\AppData\Roaming\InstallationConfiguration.xml
  2016-09-10 21:49 - 2016-09-24 17:37 - 0140288 _____ () C:\Users\Рафик\AppData\Roaming\Installer.dat
  2016-09-10 21:49 - 2016-09-10 21:49 - 0072848 _____ () C:\Users\Рафик\AppData\Roaming\Kindex.tst
  2016-09-10 21:49 - 2016-09-24 17:38 - 0126464 _____ () C:\Users\Рафик\AppData\Roaming\lobby.dat
  2016-09-10 21:50 - 2016-09-24 17:39 - 0018432 _____ () C:\Users\Рафик\AppData\Roaming\Main.dat
  2016-09-10 21:49 - 2016-09-24 17:39 - 0005568 _____ () C:\Users\Рафик\AppData\Roaming\md.xml
  2016-09-10 21:50 - 2016-09-24 17:39 - 0126464 _____ () C:\Users\Рафик\AppData\Roaming\noah.dat
  2016-09-24 17:41 - 2016-09-24 17:41 - 0041472 _____ () C:\Users\Рафик\AppData\Local\Supertouch.dat
  2016-09-24 17:41 - 2016-09-24 17:41 - 0000187 _____ () C:\Users\Рафик\AppData\Local\Supertouch.exe.config
  2016-05-24 22:54 - 2016-05-24 22:54 - 0000000 _____ () C:\Users\Рафик\AppData\Local\{8E24FA70-E002-4C94-BBCC-8EFA09E21AAB}
  Task: {2A2AB4B8-042C-4A10-B148-C97EF43E4CE9} - \{1FCED053-275E-4E3C-B7B4-A3B57CF9E2E3} -> No File <==== ATTENTION
  Task: {4661CDC0-7BF1-46F4-A77C-16BB8A9B859A} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
  IE trusted site: HKU\S-1-5-21-2433556127-375267949-2168679128-1000\...\baidu.com -> hxxp://baidu.com
  MSCONFIG\startupreg: BaiduPinyin => 
  MSCONFIG\startupreg: C => 
  FirewallRules: [{95D323DD-11BB-453F-A3F7-18CA4EC03CBF}] => (Allow) C:\Program Files (x86)\Baidu\BaiduPinyin\UIFrame\1.0.0.151\uiframe.exe
  FirewallRules: [{90832BAD-5620-492F-84A0-E47C2F39EE5D}] => (Allow) C:\Program Files (x86)\Baidu\BaiduPinyin\UIFrame\1.0.0.151\uiframe.exe
  FirewallRules: [{CF5EF980-6294-47D5-ACF6-B5A0783C8372}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
  FirewallRules: [{2BE9016F-C171-42CF-8D70-CE66AA97C367}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
  CMD: sc delete MuroghfibchCloud
  CMD: sc query MuroghfibchCloud
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  
  Upload.zip с рабочего стола отправьте по адресу newvirus@kaspersky.com.
  1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
  2. В письме напишите "Выполняется запрос хэлпера".
  3. Прикрепите файл карантина и нажмите "Отправить"
  4. Полученный ответ сообщите здесь (с указанием номера KLAN)

[SergIv]

youndoo не удаляется , скрин во вложении .

[SQ]

youndoo не удаляется , скрин во вложении .

Переходите тогда к следующим инструкциям.

[SergIv]

все сделал , файл прилагаю . Такой вопрос после запуска FRST на рабочем столе появились 2 zip файла , их оба отправлять ? 

Получил ответ от лаборатории Касперского :

 

KLAN-5370208652

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

 

svchost.exe,

svchost.exe

 

Вредоносный код в файлах не обнаружен.

 

 

С уважением, Лаборатория Касперского

Fixlog.txt

[SQ]

Сделайте лог полного сканирования МВАМ

[SergIv]

Высылаю лог

Найденные объекты удалить ?

Проверка 21.11.16.txt

[SQ]

Да, удалите все найденное в MBAM.

[SergIv]

Удалил , высылаю лог .

11.txt

[SQ]

Сделайте новый лог полного сканирования МВАМ

[SergIv]

высылаю лог 

33.txt

[SQ]

На этом всё! Ожидайте ответ хелпера mike 1.

[mike 1]

Ответил в ЛС.

[SergIv]

Огромное СПАСИБО !!!! SQ и mike 1 , файлы расшифрованы , все получилось !