Сергей Мануйлов Опубликовано 17 декабря, 2016 Share Опубликовано 17 декабря, 2016 (изменено) зашифровал файлы и переименовал .sunliga что нужно для расшифровки ? могу предоставить файл зашифрованный и оригинал. текст в файле шифровщика Внимание! Ваши файлы зашифрованы с помощью криптостойкого алгоритма! Если вы хотите вернуть свои файлы в нормальное состояние, то вам необходимо написать на email: sunliga@ya.ru В теме письма необходимо указать ваш id (ID 04951) Стоимость расшифровки файлов - 6500 руб., данное предложение актуально в течении 48 часов! далее цена увеличивается в 3 раза! CollectionLog-2016.12.17-18.15.zip Изменено 17 декабря, 2016 пользователем thyrex удалено тело вируса Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 17 декабря, 2016 Share Опубликовано 17 декабря, 2016 Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 17 декабря, 2016 Share Опубликовано 17 декабря, 2016 + образцы зашифрованных файлов пришлите Ссылка на комментарий Поделиться на другие сайты More sharing options...
Сергей Мануйлов Опубликовано 17 декабря, 2016 Автор Share Опубликовано 17 декабря, 2016 + образцы зашифрованных файлов пришлите Вот файл Информация Скачал, удалил Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 17 декабря, 2016 Share Опубликовано 17 декабря, 2016 Слушайте свою сказку Алтайская сказка.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 17 декабря, 2016 Share Опубликовано 17 декабря, 2016 Здравствуйте, HiJackThis (из каталога автологера) профиксить R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.omniboxes.com/?type=sc&ts=1424437357&from=obw&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547 R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547 R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547 R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} R1-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O2-32 - BHO: (no name) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - (no file) O2-32 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O2-32 - BHO: (no name) - {E7D2CB77-6E2D-4C1F-B485-D50506B9FA6B} - (no file) O3 - Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - (no file) O3 - Toolbar: avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file) O4 - MSConfig\startupreg: [757explorer.exe] C:\Users\Drug\AppData\Roaming\757explorer.exe (2012/08/28) O4 - MSConfig\startupreg: [838explorer.exe] C:\Users\Drug\AppData\Roaming\838explorer.exe (2012/08/28) O4 - MSConfig\startupreg: [userinit] C:\Temp\0.19868503058372822.exe (2013/04/27) O22 - ScheduledTask: (Ready) At2 - {root} - DOsdZo.exe trade.edns.biz -X SDb5w2Xbix7g8xb9v7qm (file missing) O22 - ScheduledTask: (Ready) At3 - {root} - B0kB4n.exe vmap.jetos.com -X SDb5w2Xbix7g8xb9v7qm (file missing) O22 - ScheduledTask: (Ready) DSite - {root} - C:\Users\Drug\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe /Check (file missing) AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('Windows NAT'); QuarantineFile('C:\Program Files (x86)\RelevantKnowledge\rlservice.exe',''); QuarantineFile('C:\Temp\0.19868503058372822.exe',''); QuarantineFile('C:\Temp\7IZPqBg5Oq1lYM4.exe',''); QuarantineFile('c:\usb\xpadder.exe',''); QuarantineFile('C:\Users\Drug\AppData\Roaming\757explorer.exe',''); QuarantineFile('C:\Users\Drug\AppData\Roaming\838explorer.exe',''); QuarantineFile('C:\Users\Drug\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe',''); QuarantineFile('C:\Windows\system32\com\svchost.exe',''); DeleteFile('C:\Temp\0.19868503058372822.exe','32'); DeleteFile('C:\Temp\7IZPqBg5Oq1lYM4.exe','32'); DeleteFile('C:\Users\Drug\AppData\Roaming\757explorer.exe','32'); DeleteFile('C:\Users\Drug\AppData\Roaming\838explorer.exe','32'); DeleteFile('C:\Users\Drug\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe','32'); ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At3" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "DSite" /F', 0, 15000, true); DeleteFile('C:\Windows\Tasks\At1.job','32'); DeleteFile('C:\Windows\Tasks\At2.job','32'); DeleteFile('C:\Windows\Tasks\At3.job','32'); DeleteFile('C:\Windows\Tasks\DSite.job','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\838explorer.exe','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmeter','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\userinit','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Run'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) - Подготовьте лог AdwCleaner и приложите его в теме. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Сергей Мануйлов Опубликовано 17 декабря, 2016 Автор Share Опубликовано 17 декабря, 2016 (изменено) Слушайте свою сказку Спасибо за сказку , но хотелось бы расшифровать остальные файлы лог AdwCleaner ответ службы Вредоносные программы не найдены в файлах: xpadder.exe Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней. Re: Запрос на исследование вредоносного файла [KLAN-5534205525] AdwCleanerS0.zip Изменено 17 декабря, 2016 пользователем Сергей Мануйлов Ссылка на комментарий Поделиться на другие сайты More sharing options...
Сергей Мануйлов Опубликовано 18 декабря, 2016 Автор Share Опубликовано 18 декабря, 2016 а дяденька то отвечает )) Василий Киров <sunliga@ya.ru> Платить на Qiwi кошелёк (Qiwi Visa Wallet): +79036467469 В течении какого времени ждать оплату? Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 18 декабря, 2016 Share Опубликовано 18 декабря, 2016 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. а дяденька то отвечает )) Василий Киров <sunliga@ya.ru> Платить на Qiwi кошелёк (Qiwi Visa Wallet): +79036467469 В течении какого времени ждать оплату? Вы решили платить злодеям? Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 18 декабря, 2016 Share Опубликовано 18 декабря, 2016 Слушайте свою сказку Зачем только нужно было удалять архив с зашифрованными файлами, непонятно. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 18 декабря, 2016 Share Опубликовано 18 декабря, 2016 Затем, чтобы некоторые не встревали в чужие темы. @Сергей Мануйлов, когда закончите чистку от мусора, Вам подскажут, что делать без обращения к злодеям. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Сергей Мануйлов Опубликовано 18 декабря, 2016 Автор Share Опубликовано 18 декабря, 2016 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. а дяденька то отвечает )) Василий Киров <sunliga@ya.ru> Платить на Qiwi кошелёк (Qiwi Visa Wallet): +79036467469 В течении какого времени ждать оплату? Вы решили платить злодеям? нет просто адрес узнаю )) вымогательство же ) отчет после удаления AdwCleanerS2.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 18 декабря, 2016 Share Опубликовано 18 декабря, 2016 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Сергей Мануйлов Опубликовано 18 декабря, 2016 Автор Share Опубликовано 18 декабря, 2016 отчет 2.ZIP Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 18 декабря, 2016 Share Опубликовано 18 декабря, 2016 Сами прописывали прокси-сервер? ProxyServer: [.DEFAULT] => 85.235.173.210:8080 Удалите Iobit через установку программ в панели управления. Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: File: C:\Program Files (x86)\Home Media Server1\hms.exe Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2011-02-25] () Startup: C:\Users\SUPPORT_388945a0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2011-02-25] () CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms} SearchScopes: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&ts=1424437478&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&ts=1424437478&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&ts=1424437478&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&ts=1424437478&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&ts=1424437478&type=default&q={searchTerms} BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - No File Toolbar: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Extension: (No Name) - C:\Users\Drug\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found] FF Extension: (No Name) - C:\Users\Drug\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru [not found] FF Extension: (No Name) - C:\Users\Drug\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [not found] FF SearchPlugin: C:\Users\Drug\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2011-02-25] FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2011-02-25] FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] FF Plugin HKU\S-1-5-21-2121183590-2062724571-560117081-1000: @acestream.net/acestreamplugin,version=3.0.3 -> C:\Users\Drug\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File] CHR Extension: (No Name) - C:\Users\Drug\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2016-10-08] CHR Extension: (Ghostery) - C:\Users\Drug\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlomiejdfkolichcflejclcbmpeaniij [2015-09-14] CHR Extension: (Fast search) - C:\Users\Drug\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-10-06] StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547 File: C:\Windows\system32\com\svchost.exe Folder: C:\Windows\vhid Folder: C:\Windows\udtablet Folder: C:\SysInfo 2011-06-24 01:07 - 2011-02-25 13:19 - 0000360 _____ () C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt 2011-06-24 01:07 - 2011-02-25 13:19 - 0000360 _____ () C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt 2011-06-24 01:07 - 2011-02-25 13:19 - 0000360 _____ () C:\Program Files (x86)\Common Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt 2011-06-24 01:07 - 2011-02-25 13:19 - 0000360 _____ () C:\Users\Drug\AppData\Roaming\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt 2011-06-24 01:07 - 2011-02-25 13:19 - 0000360 _____ () C:\Users\Drug\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt 2011-06-24 01:07 - 2011-02-25 13:19 - 0000360 _____ () C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt AlternateDataStreams: C:\Temp:Account.txt [0] AlternateDataStreams: C:\Windows:Active.txt [13] AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [130] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144] AlternateDataStreams: C:\ProgramData\TEMP:B24B19F1 [124] AlternateDataStreams: C:\Users\Drug\Local Settings:wa [178] AlternateDataStreams: C:\Users\Drug\AppData\Local:wa [178] AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [130] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144] AlternateDataStreams: C:\Users\Все пользователи\TEMP:B24B19F1 [124] MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt => C:\Windows\pss\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt.CommonStartup MSCONFIG\startupfolder: C:^Users^Drug^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt => C:\Windows\pss\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt.Startup MSCONFIG\startupreg: 757explorer.exe => MSCONFIG\startupreg: 838explorer.exe => MSCONFIG\startupreg: Alcmeter => MSCONFIG\startupreg: userinit => FirewallRules: [{ECCE5EA1-9BC6-454C-B4AE-E76BF21A232D}] => C:\Temp\0.19868503058372822.exe FirewallRules: [{47E60EC1-64A6-4DF4-BCAC-9E5A797C6DAD}] => C:\Temp\0.19868503058372822.exe Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Обратите внимание ошибки файловой системы: 2016-12-17 10:20 - 2016-09-20 18:36 - 00000000 __SHD C:\found.002 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти