шифровальщик .sunliga

[Сергей Мануйлов]

зашифровал файлы и переименовал .sunliga

что нужно для расшифровки ?

могу предоставить файл зашифрованный и оригинал.

 

текст в файле шифровщика

Внимание!

Ваши файлы зашифрованы с помощью криптостойкого алгоритма!

Если вы хотите вернуть свои файлы в нормальное состояние, то вам необходимо написать на email: sunliga@ya.ru

В теме письма необходимо указать ваш id (ID 04951)

 

Стоимость расшифровки файлов - 6500 руб., данное предложение актуально в течении 48 часов! далее цена увеличивается в 3 раза!

CollectionLog-2016.12.17-18.15.zip

Изменено 17 декабря, 2016 пользователем thyrex
удалено тело вируса

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[thyrex]

+ образцы зашифрованных файлов пришлите

[Сергей Мануйлов]

+ образцы зашифрованных файлов пришлите

Вот файл

 

Информация

Скачал, удалил

[thyrex]

Слушайте свою сказку

Алтайская сказка.zip

[SQ]

Здравствуйте,

 

HiJackThis (из каталога автологера) профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, = C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.omniboxes.com/?type=sc&ts=1424437357&from=obw&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
R1-32 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - (no file)
O2-32 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {E7D2CB77-6E2D-4C1F-B485-D50506B9FA6B} - (no file)
O3 - Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - (no file)
O3 - Toolbar: avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
O4 - MSConfig\startupreg:  [757explorer.exe] C:\Users\Drug\AppData\Roaming\757explorer.exe (2012/08/28)
O4 - MSConfig\startupreg:  [838explorer.exe] C:\Users\Drug\AppData\Roaming\838explorer.exe (2012/08/28)
O4 - MSConfig\startupreg:  [userinit] C:\Temp\0.19868503058372822.exe (2013/04/27)
O22 - ScheduledTask: (Ready) At2 - {root} - DOsdZo.exe trade.edns.biz -X SDb5w2Xbix7g8xb9v7qm (file missing)
O22 - ScheduledTask: (Ready) At3 - {root} - B0kB4n.exe vmap.jetos.com -X SDb5w2Xbix7g8xb9v7qm (file missing)
O22 - ScheduledTask: (Ready) DSite - {root} - C:\Users\Drug\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe /Check (file missing)

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 StopService('Windows NAT');
 QuarantineFile('C:\Program Files (x86)\RelevantKnowledge\rlservice.exe','');
 QuarantineFile('C:\Temp\0.19868503058372822.exe','');
 QuarantineFile('C:\Temp\7IZPqBg5Oq1lYM4.exe','');
 QuarantineFile('c:\usb\xpadder.exe','');
 QuarantineFile('C:\Users\Drug\AppData\Roaming\757explorer.exe','');
 QuarantineFile('C:\Users\Drug\AppData\Roaming\838explorer.exe','');
 QuarantineFile('C:\Users\Drug\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe','');
 QuarantineFile('C:\Windows\system32\com\svchost.exe','');
 DeleteFile('C:\Temp\0.19868503058372822.exe','32');
 DeleteFile('C:\Temp\7IZPqBg5Oq1lYM4.exe','32');
 DeleteFile('C:\Users\Drug\AppData\Roaming\757explorer.exe','32');
 DeleteFile('C:\Users\Drug\AppData\Roaming\838explorer.exe','32');
 DeleteFile('C:\Users\Drug\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "At2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "At3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "DSite" /F', 0, 15000, true);
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\Tasks\At2.job','32');
 DeleteFile('C:\Windows\Tasks\At3.job','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\838explorer.exe','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmeter','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\userinit','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Run');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[Сергей Мануйлов]

Слушайте свою сказку

Спасибо за сказку , но хотелось бы расшифровать остальные файлы

лог AdwCleaner

ответ службы

 

Вредоносные программы не найдены в файлах:

xpadder.exe

 

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

 

Re: Запрос на исследование вредоносного файла [KLAN-5534205525]

AdwCleanerS0.zip

Изменено 17 декабря, 2016 пользователем Сергей Мануйлов

[Сергей Мануйлов]

а дяденька то отвечает ))

Василий Киров <sunliga@ya.ru>

Платить на Qiwi кошелёк (Qiwi Visa Wallet): +79036467469

В течении какого времени ждать оплату?

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

а дяденька то отвечает ))

Василий Киров <sunliga@ya.ru>

Платить на Qiwi кошелёк (Qiwi Visa Wallet): +79036467469

В течении какого времени ждать оплату?

Вы решили платить злодеям?

[mike 1]

Слушайте свою сказку

Зачем только нужно было удалять архив с зашифрованными файлами, непонятно.

[thyrex]

Затем, чтобы некоторые не встревали в чужие темы.

 

@Сергей Мануйлов, когда закончите чистку от мусора, Вам подскажут, что делать без обращения к злодеям.

[Сергей Мануйлов]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

а дяденька то отвечает ))

Василий Киров <sunliga@ya.ru>

Платить на Qiwi кошелёк (Qiwi Visa Wallet): +79036467469

В течении какого времени ждать оплату?

Вы решили платить злодеям?

 

нет просто адрес узнаю )) вымогательство же )

отчет после удаления

AdwCleanerS2.zip

[SQ]

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Сергей Мануйлов]

отчет

2.ZIP

[SQ]

Сами прописывали прокси-сервер?

ProxyServer: [.DEFAULT] => 85.235.173.210:8080

Удалите Iobit через установку программ в панели управления.

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  File: C:\Program Files (x86)\Home Media Server1\hms.exe
  Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2011-02-25] ()
  Startup: C:\Users\SUPPORT_388945a0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2011-02-25] ()
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547
  HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
  HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1424437458&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547
  HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
  SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
  SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
  SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
  SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&ts=1424437478&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&ts=1424437478&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&ts=1424437478&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&ts=1424437478&type=default&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547&ts=1424437478&type=default&q={searchTerms}
  BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
  BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
  Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
  Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
  Toolbar: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
  Toolbar: HKU\S-1-5-21-2121183590-2062724571-560117081-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF Extension: (No Name) - C:\Users\Drug\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
  FF Extension: (No Name) - C:\Users\Drug\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru [not found]
  FF Extension: (No Name) - C:\Users\Drug\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [not found]
  FF SearchPlugin: C:\Users\Drug\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2011-02-25]
  FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2011-02-25]
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin HKU\S-1-5-21-2121183590-2062724571-560117081-1000: @acestream.net/acestreamplugin,version=3.0.3 -> C:\Users\Drug\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
  CHR Extension: (No Name) - C:\Users\Drug\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2016-10-08]
  CHR Extension: (Ghostery) - C:\Users\Drug\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlomiejdfkolichcflejclcbmpeaniij [2015-09-14]
  CHR Extension: (Fast search) - C:\Users\Drug\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-10-06]
  StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1424437430&from=pcs&uid=WDCXWD2500JS-55MHB0_WD-WMANK195254752547
  File: C:\Windows\system32\com\svchost.exe
  Folder: C:\Windows\vhid
  Folder: C:\Windows\udtablet
  Folder: C:\SysInfo
  2011-06-24 01:07 - 2011-02-25 13:19 - 0000360 _____ () C:\Program Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
  2011-06-24 01:07 - 2011-02-25 13:19 - 0000360 _____ () C:\Program Files (x86)\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
  2011-06-24 01:07 - 2011-02-25 13:19 - 0000360 _____ () C:\Program Files (x86)\Common Files\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
  2011-06-24 01:07 - 2011-02-25 13:19 - 0000360 _____ () C:\Users\Drug\AppData\Roaming\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
  2011-06-24 01:07 - 2011-02-25 13:19 - 0000360 _____ () C:\Users\Drug\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
  2011-06-24 01:07 - 2011-02-25 13:19 - 0000360 _____ () C:\ProgramData\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
  AlternateDataStreams: C:\Temp:Account.txt [0]
  AlternateDataStreams: C:\Windows:Active.txt [13]
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [130]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
  AlternateDataStreams: C:\ProgramData\TEMP:B24B19F1 [124]
  AlternateDataStreams: C:\Users\Drug\Local Settings:wa [178]
  AlternateDataStreams: C:\Users\Drug\AppData\Local:wa [178]
  AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [130]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:B24B19F1 [124]
  MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt => C:\Windows\pss\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt.CommonStartup
  MSCONFIG\startupfolder: C:^Users^Drug^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt => C:\Windows\pss\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt.Startup
  MSCONFIG\startupreg: 757explorer.exe => 
  MSCONFIG\startupreg: 838explorer.exe => 
  MSCONFIG\startupreg: Alcmeter => 
  MSCONFIG\startupreg: userinit => 
  FirewallRules: [{ECCE5EA1-9BC6-454C-B4AE-E76BF21A232D}] => C:\Temp\0.19868503058372822.exe
  FirewallRules: [{47E60EC1-64A6-4DF4-BCAC-9E5A797C6DAD}] => C:\Temp\0.19868503058372822.exe
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Обратите внимание ошибки файловой системы:

2016-12-17 10:20 - 2016-09-20 18:36 - 00000000 __SHD C:\found.002