denikin_1 Опубликовано 27 января, 2017 Опубликовано 27 января, 2017 (изменено) Добрый день, есть дамп файла Tempsp.exe, который возможно шифровал данные, может поможет Изменено 27 января, 2017 пользователем Sandor Убрал подозрительный файл
Sandor Опубликовано 27 января, 2017 Опубликовано 27 января, 2017 Здравствуйте! Если нужна помочь, прочтите и выполните Порядок оформления запроса о помощи Вирусы не прикрепляйте к сообщению.
denikin_1 Опубликовано 27 января, 2017 Автор Опубликовано 27 января, 2017 Здравствуйте! Если нужна помочь, прочтите и выполните Порядок оформления запроса о помощи Вирусы не прикрепляйте к сообщению. нужна помощь CollectionLog-2017.01.27-14.25.zip
Sandor Опубликовано 27 января, 2017 Опубликовано 27 января, 2017 Через Панель управления - Удаление программ - удалите нежелательное ПО: Unity Web Player Служба автоматического обновления программ Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
denikin_1 Опубликовано 27 января, 2017 Автор Опубликовано 27 января, 2017 Через Панель управления - Удаление программ - удалите нежелательное ПО: Unity Web Player Служба автоматического обновления программ Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. AdwCleanerS0.txt
Sandor Опубликовано 27 января, 2017 Опубликовано 27 января, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
denikin_1 Опубликовано 27 января, 2017 Автор Опубликовано 27 января, 2017 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chromeи нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Addition.txt AdwCleanerC0.txt FRST.txt Shortcut.txt
Sandor Опубликовано 27 января, 2017 Опубликовано 27 января, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-09-25] FF Extension: (Поиск@Mail.Ru) - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-09-25] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-09-25] CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B5970B8C3-8CA1-44D6-8833-EBEF31E4562C%7D&gp=811610 CHR DefaultSearchKeyword: Default -> mail.ru_ CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} CHR Extension: (Яндекс) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp [2016-12-13] CHR Extension: (Стартовая — Яндекс) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2016-09-29] CHR Extension: (Пульт) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk [2016-09-25] 2017-01-20 07:42 - 2017-01-20 07:43 - 2345624 _____ () C:\Users\Андрей\AppData\Roaming\3331244987 2017-01-20 07:43 - 2017-01-20 07:43 - 0001088 ___RH () C:\Users\Андрей\AppData\Roaming\RUFE4-42RXG-ZTXGK-TKTOT-XGGEF-TXOXY.KEY 2016-06-04 14:39 - 2016-06-01 17:14 - 2187992 _____ (Mail.Ru) C:\Users\Андрей\AppData\Local\Temp\5316-494b-24e0-2799.exe 2016-10-09 18:19 - 2017-01-08 12:31 - 52703976 _____ (Mail.Ru) C:\Users\Андрей\AppData\Local\Temp\amigo_setup.exe 2017-01-21 22:52 - 2017-01-21 22:52 - 3356928 _____ () C:\Users\Андрей\AppData\Local\Temp\bundle210117225254z.exe 2015-07-15 15:25 - 2015-07-15 15:25 - 0145792 _____ () C:\Users\Андрей\AppData\Local\Temp\downloader.exe 2015-01-05 18:50 - 2015-01-05 18:50 - 0372936 _____ (ESET) C:\Users\Андрей\AppData\Local\Temp\InstHelper.exe 2015-01-06 22:18 - 2017-01-18 22:41 - 4167384 _____ (Mail.Ru) C:\Users\Андрей\AppData\Local\Temp\MailRuUpdater.exe 2016-09-02 10:49 - 2017-01-18 22:41 - 4167384 _____ (Mail.Ru) C:\Users\Андрей\AppData\Local\Temp\mrutmp.exe 2015-04-06 14:57 - 2015-04-06 14:57 - 61830096 _____ (YANDEX LLC) C:\Users\Андрей\AppData\Local\Temp\{A7BBE0B7-836D-48A7-A80F-32F2B69ABAC1}.exe Task: {0642A0AF-B96D-42FF-847E-FD8E851663FC} - System32\Tasks\{C6441AB5-DB77-41DC-A995-9C0C8793B109} => pcalua.exe -a "C:\Users\Андрей\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3D0GKX5B\PC-Banking_x64[1].exe" -d C:\Users\Андрей\Desktop Task: {2F12A6CC-895F-4C6C-A138-2D9FC0ACC0EC} - System32\Tasks\{EB6103E5-CAF1-40E3-9BA1-615DFEC89497} => pcalua.exe -a "C:\Users\Андрей\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M2PMEZ3G\win64 (1).exe" -d C:\Users\Андрей\Desktop Task: {3A6430DC-2FD1-463A-B44F-0E3AB68AEDA8} - System32\Tasks\{DC3E2B58-CA9E-4277-B116-F227D8177036} => C:\Users\Андрей\Desktop\win64.exe Task: {6D9D42E8-A359-43FE-BC66-3F010ED08FEE} - System32\Tasks\{3539A7DF-BE29-4B59-B23C-D3D459246E01} => C:\Users\Андрей\Desktop\win64.exe Task: {824AFA4E-0A14-411F-BC0A-6BDC854AAF6D} - System32\Tasks\{294CA158-CAE5-4EE5-A8CA-626055F3094B} => pcalua.exe -a "C:\Users\Андрей\Downloads\win64 (3).exe" -d C:\Users\Андрей\Downloads Task: {C7013254-F886-4451-B0F7-42D69DC9D58F} - System32\Tasks\{CF73C285-2BCE-44B5-AD4E-B848AFFE37C2} => pcalua.exe -a C:\Users\Андрей\Downloads\win32.exe -d C:\Users\Андрей\Downloads Task: {CD3B8094-B6D5-4B92-BF8F-687FDF6C60AA} - System32\Tasks\{92CADDD6-8289-4525-AE2F-929EADB1CD3B} => pcalua.exe -a "C:\Users\Андрей\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M2PMEZ3G\win64 (2).exe" -d C:\Users\Андрей\Desktop AlternateDataStreams: C:\Users\Андрей\Desktop\счет уралсибмастер.jpeg:3or4kl4x13tuuug3Byamue2s4b [81] AlternateDataStreams: C:\Users\Андрей\Desktop\счет уралсибмастер.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
denikin_1 Опубликовано 27 января, 2017 Автор Опубликовано 27 января, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-09-25] FF Extension: (Поиск@Mail.Ru) - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-09-25] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-09-25] CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B5970B8C3-8CA1-44D6-8833-EBEF31E4562C%7D&gp=811610 CHR DefaultSearchKeyword: Default -> mail.ru_ CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} CHR Extension: (Яндекс) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp [2016-12-13] CHR Extension: (Стартовая — Яндекс) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2016-09-29] CHR Extension: (Пульт) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk [2016-09-25] 2017-01-20 07:42 - 2017-01-20 07:43 - 2345624 _____ () C:\Users\Андрей\AppData\Roaming\3331244987 2017-01-20 07:43 - 2017-01-20 07:43 - 0001088 ___RH () C:\Users\Андрей\AppData\Roaming\RUFE4-42RXG-ZTXGK-TKTOT-XGGEF-TXOXY.KEY 2016-06-04 14:39 - 2016-06-01 17:14 - 2187992 _____ (Mail.Ru) C:\Users\Андрей\AppData\Local\Temp\5316-494b-24e0-2799.exe 2016-10-09 18:19 - 2017-01-08 12:31 - 52703976 _____ (Mail.Ru) C:\Users\Андрей\AppData\Local\Temp\amigo_setup.exe 2017-01-21 22:52 - 2017-01-21 22:52 - 3356928 _____ () C:\Users\Андрей\AppData\Local\Temp\bundle210117225254z.exe 2015-07-15 15:25 - 2015-07-15 15:25 - 0145792 _____ () C:\Users\Андрей\AppData\Local\Temp\downloader.exe 2015-01-05 18:50 - 2015-01-05 18:50 - 0372936 _____ (ESET) C:\Users\Андрей\AppData\Local\Temp\InstHelper.exe 2015-01-06 22:18 - 2017-01-18 22:41 - 4167384 _____ (Mail.Ru) C:\Users\Андрей\AppData\Local\Temp\MailRuUpdater.exe 2016-09-02 10:49 - 2017-01-18 22:41 - 4167384 _____ (Mail.Ru) C:\Users\Андрей\AppData\Local\Temp\mrutmp.exe 2015-04-06 14:57 - 2015-04-06 14:57 - 61830096 _____ (YANDEX LLC) C:\Users\Андрей\AppData\Local\Temp\{A7BBE0B7-836D-48A7-A80F-32F2B69ABAC1}.exe Task: {0642A0AF-B96D-42FF-847E-FD8E851663FC} - System32\Tasks\{C6441AB5-DB77-41DC-A995-9C0C8793B109} => pcalua.exe -a "C:\Users\Андрей\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3D0GKX5B\PC-Banking_x64[1].exe" -d C:\Users\Андрей\Desktop Task: {2F12A6CC-895F-4C6C-A138-2D9FC0ACC0EC} - System32\Tasks\{EB6103E5-CAF1-40E3-9BA1-615DFEC89497} => pcalua.exe -a "C:\Users\Андрей\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M2PMEZ3G\win64 (1).exe" -d C:\Users\Андрей\Desktop Task: {3A6430DC-2FD1-463A-B44F-0E3AB68AEDA8} - System32\Tasks\{DC3E2B58-CA9E-4277-B116-F227D8177036} => C:\Users\Андрей\Desktop\win64.exe Task: {6D9D42E8-A359-43FE-BC66-3F010ED08FEE} - System32\Tasks\{3539A7DF-BE29-4B59-B23C-D3D459246E01} => C:\Users\Андрей\Desktop\win64.exe Task: {824AFA4E-0A14-411F-BC0A-6BDC854AAF6D} - System32\Tasks\{294CA158-CAE5-4EE5-A8CA-626055F3094B} => pcalua.exe -a "C:\Users\Андрей\Downloads\win64 (3).exe" -d C:\Users\Андрей\Downloads Task: {C7013254-F886-4451-B0F7-42D69DC9D58F} - System32\Tasks\{CF73C285-2BCE-44B5-AD4E-B848AFFE37C2} => pcalua.exe -a C:\Users\Андрей\Downloads\win32.exe -d C:\Users\Андрей\Downloads Task: {CD3B8094-B6D5-4B92-BF8F-687FDF6C60AA} - System32\Tasks\{92CADDD6-8289-4525-AE2F-929EADB1CD3B} => pcalua.exe -a "C:\Users\Андрей\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M2PMEZ3G\win64 (2).exe" -d C:\Users\Андрей\Desktop AlternateDataStreams: C:\Users\Андрей\Desktop\счет уралсибмастер.jpeg:3or4kl4x13tuuug3Byamue2s4b [81] AlternateDataStreams: C:\Users\Андрей\Desktop\счет уралсибмастер.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Fixlog.txt
Sandor Опубликовано 27 января, 2017 Опубликовано 27 января, 2017 Адварь очищена. С расшифровкой помочь не сможем.
denikin_1 Опубликовано 27 января, 2017 Автор Опубликовано 27 января, 2017 Адварь очищена. С расшифровкой помочь не сможем. дамп файла, который шифрует не сможет помочь?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти