не открываются офисные файлы ворд, ексель

[maavrus141]

не открываются офисные файлы ворд, ексель после того как открыли письмо на почте.

CollectionLog-2017.08.03-12.12.zip

[Sandor]

Здравствуйте!

 

Расширения у поврежденных файлов не изменились?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player

Амиго

Служба автоматического обновления программ

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[maavrus141]

# AdwCleaner 7.0.1.0 - Logfile created on Fri Aug 04 00:36:22 2017

# Updated on 2017/05/08 by Malwarebytes 

# Running on Windows 10 Home Single Language (X64)

# Mode: clean

# Support: https://www.malwarebytes.com/support

 

***** [ Services ] *****

 

Deleted: mrupdsrv

 

 

***** [ Folders ] *****

 

Deleted: C:\ProgramData\Mail.Ru

Deleted: C:\ProgramData\Application Data\Mail.Ru

Deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Mail.Ru

Deleted: C:\Program Files (x86)\Mail.Ru

Deleted: C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Mail.Ru

Deleted: C:\Users\All Users\Mail.Ru

Deleted: C:\Users\user\AppData\Local\Mail.Ru

Deleted: C:\Users\user\AppData\Roaming\Mail.Ru

Deleted: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru

Deleted: C:\Users\Все пользователи\Mail.Ru

Deleted: C:\Users\user\AppData\Local\MailRu

Deleted: C:\Users\user\AppData\Roaming\MailProducts

Deleted: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго

Deleted: C:\Users\user\AppData\Local\Amigo

Deleted: C:\Users\user\AppData\Local\Amigo

 

 

***** [ Files ] *****

 

Deleted: C:\Users\user\Favorites\Mail.Ru.url

Deleted: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk

Deleted: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вконтакте.lnk

Deleted: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk

Deleted: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk

Deleted: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Одноклассники.lnk

Deleted: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk

Deleted: C:\Users\user\Favorites\Mail.Ru Агент - используй для общения!.url

Deleted: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk

Deleted: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Амиго.lnk

Deleted: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk

 

 

***** [ DLL ] *****

 

No malicious DLLs cleaned.

 

***** [ WMI ] *****

 

No malicious WMI cleaned.

 

***** [ Shortcuts ] *****

 

Cleaned: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk[http:\\r.mail.ru\n137257923]

Cleaned: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk[http:\\r.mail.ru\n137257727]

Cleaned: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk[http:\\r.mail.ru\n137257923]

Cleaned: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk[http:\\r.mail.ru\n137257727]

 

 

***** [ Tasks ] *****

 

Deleted: MailRuUpdater

 

 

***** [ Registry ] *****

 

Deleted: [Key] - HKLM\SOFTWARE\Mail.Ru

Deleted: [Key] - HKU\.DEFAULT\Software\Mail.Ru

Deleted: [Key] - HKU\S-1-5-21-9230719-2260985597-3542376434-1001\Software\Mail.Ru

Deleted: [Key] - HKU\S-1-5-21-9230719-2260985597-3542376434-1001\Software\AppDataLow\Software\Mail.Ru

Deleted: [Key] - HKU\S-1-5-18\Software\Mail.Ru

Deleted: [Key] - HKCU\Software\Mail.Ru

Deleted: [Key] - HKCU\Software\AppDataLow\Software\Mail.Ru

Deleted: [Key] - HKU\S-1-5-21-9230719-2260985597-3542376434-1001\Software\Xpom

Deleted: [Key] - HKCU\Software\Xpom

Deleted: [Key] - HKLM\SOFTWARE\Classes\TypeLib\{C69276F0-9BC1-404F-8566-FCB14D0ED4B8}

Deleted: [Key] - HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\mail.ru

Deleted: [Key] - HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\rambler.ru

Deleted: [Key] - HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\stihi.ru

Deleted: [Key] - HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\e.mail.ru

Deleted: [Key] - HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\elenamakarova2015mailru.webagent.mail.ru

Deleted: [Key] - HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\games.mail.ru

Deleted: [Key] - HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\mail.ru

Deleted: [Key] - HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\e.mail.ru

Deleted: [Key] - HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\elenamakarova2015mailru.webagent.mail.ru

Deleted: [Key] - HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\games.mail.ru

Deleted: [Key] - HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\mail.ru

Deleted: [Key] - HKU\S-1-5-21-9230719-2260985597-3542376434-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Internet Explorer\DOMStorage\mail.ru

Deleted: [Data] - HKCU\Software\Microsoft\Internet Explorer\Main|Start Page [http:\\mail.ru\cnt\10445?gp=801432]

Deleted: [Data] - HKCU\Software\Microsoft\Internet Explorer\Main|Start Page [http:\\mail.ru\cnt\10445?gp=801432]

Deleted: [Key] - HKU\S-1-5-21-9230719-2260985597-3542376434-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater

Deleted: [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater

Deleted: [Key] - HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}

Deleted: [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}

Deleted: [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E8F97CD-60B5-456F-A201-73065652D099}

Deleted: [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E8F97CD-60B5-456F-A201-73065652D099}

Deleted: [Key] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AE298D-7E8A-4F53-BE55-15D2B065F6C0}

Deleted: [Value] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|ApnTBMon

Deleted: [Value] - HKU\S-1-5-21-9230719-2260985597-3542376434-1001\Software\Microsoft\Windows\CurrentVersion\Run|amigo

Deleted: [Value] - HKCU\Software\Microsoft\Windows\CurrentVersion\Run|amigo

Deleted: [Key] - HKLM\SOFTWARE\MICROSOFT\MEDIAPLAYER\SHIMINCLUSIONLIST\amigo.exe

Deleted: [Key] - HKU\S-1-5-21-9230719-2260985597-3542376434-1001\Software\Amigo

Deleted: [Key] - HKU\S-1-5-21-9230719-2260985597-3542376434-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall\Amigo

Deleted: [Key] - HKCU\Software\Amigo

Deleted: [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Amigo

 

 

***** [ Firefox (and derivatives) ] *****

 

No malicious Firefox entries deleted.

 

***** [ Chromium (and derivatives) ] *****

 

Plugin deleted: Домашняя страница Mail.Ru - 

Plugin deleted: Визуальные Закладки Mail.Ru - 

Plugin deleted: Поиск Mail.Ru - 

 

 

*************************

 

::Tracing keys deleted

::Winsock settings cleared

::Additional Actions: 0

 

 

 

*************************

 

C:/AdwCleaner/AdwCleaner[s0].txt - [9086 B] - [2017/8/4 0:26:18]

 

 

########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt ##########

 AdwCleaner 7.0.1.0 - Logfile created on Fri Aug 04 00:26:18 2017

# Updated on 2017/05/08 by Malwarebytes 

# Database: 07-31-2017.1

# Running on Windows 10 Home Single Language (X64)

# Mode: scan

# Support: https://www.malwarebytes.com/support

 

***** [ Services ] *****

 

PUP.Optional.Legacy, mrupdsrv

 

 

***** [ Folders ] *****

 

PUP.Optional.MailRU, C:\ProgramData\Mail.Ru

PUP.Optional.MailRU, C:\ProgramData\Application Data\Mail.Ru

PUP.Optional.MailRU, C:\Windows\System32\config\systemprofile\AppData\Local\Mail.Ru

PUP.Optional.MailRU, C:\Program Files (x86)\Mail.Ru

PUP.Optional.MailRU, C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Mail.Ru

PUP.Optional.MailRU, C:\Users\All Users\Mail.Ru

PUP.Optional.MailRU, C:\Users\user\AppData\Local\Mail.Ru

PUP.Optional.MailRU, C:\Users\user\AppData\Roaming\Mail.Ru

PUP.Optional.MailRU, C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru

PUP.Optional.MailRU, C:\Users\Все пользователи\Mail.Ru

PUP.Optional.MailRU, C:\Users\user\AppData\Local\MailRu

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\MailProducts

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго

PUP.Optional.Amigo, C:\Users\user\AppData\Local\Amigo

PUP.Optional.Yontoo, C:\Users\user\AppData\Local\Amigo

 

 

***** [ Files ] *****

 

PUP.Optional.Legacy, C:\Users\user\Favorites\Mail.Ru.url

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вконтакте.lnk

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Одноклассники.lnk

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk

PUP.Optional.Legacy, C:\Users\user\Favorites\Mail.Ru Агент - используй для общения!.url

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Амиго.lnk

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk

 

 

***** [ DLL ] *****

 

No malicious DLLs found.

 

***** [ WMI ] *****

 

No malicious WMI found.

 

***** [ Shortcuts ] *****

 

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk - http:\\r.mail.ru\n137257923

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk - http:\\r.mail.ru\n137257727

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk - http:\\r.mail.ru\n137257923

PUP.Optional.Legacy, C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk - http:\\r.mail.ru\n137257727

 

 

***** [ Tasks ] *****

 

PUP.Optional.Legacy, MailRuUpdater

[thyrex]

Расширения у поврежденных файлов не изменились?

на вопрос не ответили

[Sandor]

+

Отчет, пожалуйста, прикрепляйте к сообщению, а не вставляйте содержимое.

[maavrus141]

Добрый день.

расширение не изменилось.

Новые файлы создаются, сохраняются, открываются . Все ранее созданные документы  изменены 2 августа и не открываются. В каждой папке появился файл README_eGUiKSAmJi

AdwCleanerS0.txt

AdwCleanerC0.txt

скриншоты.doc

[Sandor]

В каждой папке появился файл README_eGUiKSAmJi

Этот файл и пару поврежденных документов упакуйте архиватором и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

+

Ответьте - программы от mail.ru используете?

[maavrus141]

 mail.ru используем для почты  ,  49schooluu@gmail.com

Addition.txt

FRST.txt

Shortcut.txt

1.zip

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  GroupPolicyScripts: Restriction <==== ATTENTION
  SearchScopes: HKU\S-1-5-21-9230719-2260985597-3542376434-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B296E864D-9EB3-4C37-87A8-322D367D0B53%7D&gp=801932
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=801432","hxxp://www.google.com/"
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B950FF1E8-B76C-4667-8AF9-9F09B2266DA6%7D&gp=801932
  CHR DefaultSearchKeyword: Default -> mail.ru_
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
  2017-08-02 08:49 - 2017-08-02 08:49 - 000011072 ____R C:\Users\user\Documents\README_eGUiKSAmJi.hta
  2017-08-02 08:34 - 2017-08-02 08:34 - 000000000 _____ C:\Users\user\AppData\Roaming\eGUiKSAmJi
  2016-12-16 09:03 - 2017-02-18 10:50 - 052665336 _____ (Mail.Ru) C:\Users\user\AppData\Local\Temp\amigo_setup.exe
  2017-01-20 14:00 - 2017-06-27 01:42 - 004100824 _____ (Mail.Ru) C:\Users\user\AppData\Local\Temp\mrutmp.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[maavrus141]

сделано

Fixlog.txt

[Sandor]

Вымогатель Spora. С расшифровкой помочь не сможем.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[maavrus141]

я все же верю вам, надеюсь что вы поможете решить мою проблему. неужели есть специалисты неприкасаемые? 

SecurityCheck.txt

[Sandor]

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 25 v.8.0.250 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u144-windows-i586.exe)^

--------------------------- [ AppleProduction ] ---------------------------

QuickTime 7 v.7.75.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

QuickTime Pro 7.7.4 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 26 NPAPI v.26.0.0.137 Внимание! Скачать обновления

Adobe Flash Player 26 PPAPI v.26.0.0.137 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[maavrus141]

спасибо за сотрудничество!