PTS Опубликовано 15 сентября, 2017 Share Опубликовано 15 сентября, 2017 доброго времени суток. Очень надеюсь на вашу помощь. Сообщение от модератора Mark D. Pearlstone Перемещено из темы Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 15 сентября, 2017 Share Опубликовано 15 сентября, 2017 Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
PTS Опубликовано 20 сентября, 2017 Автор Share Опубликовано 20 сентября, 2017 (изменено) сделала всё по инструкции, но в архиве в папке AutoLogger нет zip-архива с собранными логами - CollectionLog-yyyy.mm.dd-hh.mm.zip. Есть 4 папки и 1текст. Вот такие: AVZ CheckBrowsersLNK HijeckThis RSIT report1.log Изменено 20 сентября, 2017 пользователем PTS Ссылка на комментарий Поделиться на другие сайты More sharing options...
PTS Опубликовано 20 сентября, 2017 Автор Share Опубликовано 20 сентября, 2017 Здравствуйте. Открыла вложение в электронной почте. Очень надеюсь на вашу помощь. CollectionLog-2017.09.20-11.47.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 20 сентября, 2017 Share Опубликовано 20 сентября, 2017 Здравствуйте! Записку с требованием выкупа и пару зашифрованных файлов упакуйте в архив и прикрепите к следующему сообщению. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 20 сентября, 2017 Share Опубликовано 20 сентября, 2017 но в архиве в папке AutoLogger потому что делали не по инструкции. А по инструкции надо было сначала распаковать из архива. Ссылка на комментарий Поделиться на другие сайты More sharing options...
PTS Опубликовано 20 сентября, 2017 Автор Share Опубликовано 20 сентября, 2017 Доброго времени суток. Всё сделала по инструкции. Готова к следующему шагу шифровальщик.RAR Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 20 сентября, 2017 Share Опубликовано 20 сентября, 2017 Увы, это Shade, расшифровки для него нет. Будет только очистка следов и мусора. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: () C:\Program Files\bb486c786c51b13cbc17d2601b359025\9706c4fe69f20f1e12d26c5a321f22df.exe C:\Program Files\bb486c786c51b13cbc17d2601b359025\9706c4fe69f20f1e12d26c5a321f22df.exe C:\Program Files\bb486c786c51b13cbc17d2601b359025\ HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: F - F:\AutoRun.exe HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: G - G:\AutoRun.exe HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: I - I:\Autorun.exe HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {07d326de-6d16-11e7-8830-047d7b67c9e8} - F:\AutoRun.exe HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {5a44214a-5c63-11e5-8376-001e101f57d0} - F:\AutoRun.exe HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {a88ca3f6-964f-11e5-a11a-001e101fb4df} - I:\iLinker.exe HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {e8be9cf0-85bc-11e5-af6c-001e101f50a4} - F:\AutoRun.exe HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {ea737fbb-db58-11e4-a516-047d7b67c9e8} - I:\Autorun.exe HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {ea738005-db58-11e4-a516-047d7b67c9e8} - G:\AutoRun.exe HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {ea738016-db58-11e4-a516-047d7b67c9e8} - F:\AutoRun.exe GroupPolicy: Restriction <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPDTDF SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPDTDF SearchScopes: HKU\S-1-5-21-3254382207-4008642762-3871550152-1000 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPDTDF BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-3254382207-4008642762-3871550152-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-3254382207-4008642762-3871550152-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Extension: (No Name) - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\728c-5d11-6dbc-4337 [2016-09-04] [not signed] FF Extension: (No Name) - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\d64f-57c8-f817-525b [2016-09-04] FF Extension: (No Name) - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-09-14] FF Extension: (No Name) - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-09-14] FF Extension: (No Name) - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-09-14] R2 bb486c786c51b13cbc17d2601b359025; C:\Program Files\bb486c786c51b13cbc17d2601b359025\9706c4fe69f20f1e12d26c5a321f22df.exe [1060352 2017-08-17] () [File not signed] <==== ATTENTION R1 e04404239ebeff187a6d134e1f22e3b6; C:\Windows\system32\drivers\e04404239ebeff187a6d134e1f22e3b6.sys [77184 2017-08-17] (36IHD8) <==== ATTENTION S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [1 2017-06-03] () [File not signed] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\QMUdisk64.sys [X] S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\TS888x64.sys [X] S1 TsDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\TsDefenseBT64.sys [X] 2017-09-18 11:54 - 2017-09-18 11:54 - 000000000 _____ C:\Windows\SysWOW64\shoBD84.tmp 2017-09-15 10:21 - 2017-09-15 10:21 - 004320054 _____ C:\Users\Татьяна\AppData\Roaming\9B1D1C459B1D1C45.bmp 2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README9.txt 2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README8.txt 2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README7.txt 2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README6.txt 2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README5.txt 2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README4.txt 2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README3.txt 2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README2.txt 2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README10.txt 2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README1.txt 2017-09-14 19:37 - 2017-09-14 19:37 - 000000000 __SHD C:\Users\Все пользователи\System32 2017-09-14 19:37 - 2017-09-14 19:37 - 000000000 __SHD C:\ProgramData\System32 2016-09-04 19:50 - 2016-09-04 19:51 - 001580445 _____ ( ) C:\Users\Татьяна\AppData\Local\Temp\f595f70b-4f83-4f48-acfc-f8f8bcf087d5.exe 2016-09-04 19:52 - 2016-09-04 19:52 - 004423896 _____ () C:\Users\Татьяна\AppData\Local\Temp\mailruhomesearch.exe 2016-09-04 19:53 - 2016-09-01 22:19 - 005179608 _____ (Mail.Ru) C:\Users\Татьяна\AppData\Local\Temp\MailRuUpdater.exe 2016-09-14 21:31 - 2017-04-14 22:21 - 004127960 _____ (Mail.Ru) C:\Users\Татьяна\AppData\Local\Temp\mrutmp.exe 2017-08-10 22:49 - 2017-08-10 22:50 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update0019706201.exe 2017-08-14 07:59 - 2017-08-14 08:00 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update3164702505.exe 2017-08-09 11:49 - 2017-08-09 11:51 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update4079990829.exe 2017-09-12 19:10 - 2017-09-12 19:14 - 006708408 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update4504350346.exe 2017-08-28 07:02 - 2017-08-28 07:03 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update5120344740.exe 2017-08-05 09:37 - 2017-08-05 09:38 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update5304508454.exe 2017-08-12 10:00 - 2017-08-12 10:02 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update5369335330.exe 2017-08-25 11:46 - 2017-08-25 11:47 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update5629493652.exe 2017-09-15 00:34 - 2017-09-15 00:34 - 006708408 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update6380382731.exe 2017-08-04 12:09 - 2017-08-04 12:10 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update7076630623.exe 2017-08-20 12:46 - 2017-08-20 12:47 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update7934256516.exe 2017-08-08 17:22 - 2017-08-08 17:23 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update8062013050.exe Task: {19E93841-27B5-4B45-A713-F48A12780B57} - System32\Tasks\bb486c786c51b13cbc17d2601b359025 => sc start bb486c786c51b13cbc17d2601b359025 <==== ATTENTION Task: {8869F8F2-0C5E-4F6F-A60D-7CABF727699A} - System32\Tasks\WinThruster_UPDATES => C:\Program Files (x86)\WinThruster\WinThruster.exe <==== ATTENTION Task: {D3E74394-4169-48A3-96EC-EB19B31297C4} - System32\Tasks\WinThruster_DEFAULT => C:\Program Files (x86)\WinThruster\WinThruster.exe <==== ATTENTION Task: {D941783D-AC02-4C98-ADA8-C6CA21927C49} - System32\Tasks\WinThruster => C:\Program Files (x86)\WinThruster\WinThruster.exe <==== ATTENTION Task: {F5F46D30-80D9-4BAF-9290-D77F8C114A83} - \57eebd57618ca44829cd845d87d3fb84 -> No File <==== ATTENTION Task: C:\Windows\Tasks\WinThruster_DEFAULT.job => C:\Program Files (x86)\WinThruster\WinThruster.exe <==== ATTENTION Task: C:\Windows\Tasks\WinThruster_UPDATES.job => C:\Program Files (x86)\WinThruster\WinThruster.exe <==== ATTENTION HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\69124979.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\6B809DEB.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\69124979.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\6B809DEB.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" FirewallRules: [{8AC57AC7-C1CA-4755-AAD5-A872956118D0}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{0FE21D05-A2C7-47DB-9818-251B49B6AE1C}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{95D39D8E-2BE5-4918-86A2-B6F5733B287F}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{B2CF837D-EF1D-45D6-AC7A-421F8EBC7593}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{73CD42A7-D36E-4609-BB2F-B44E838FC83E}] => (Allow) C:\Users\Татьяна\AppData\Local\itorrent\itorrent.exe FirewallRules: [{57BC3440-756A-4AF1-BF24-8CC615EE0203}] => (Allow) C:\Users\Татьяна\AppData\Local\itorrent\itorrent.exe FirewallRules: [{42BB1153-B326-476F-A9F6-50A5FC26ED17}] => (Allow) C:\Users\Татьяна\AppData\Local\Amigo\Application\amigo.exe FirewallRules: [{74A90560-1C85-48D8-960F-41FC92CF1DD8}] => (Allow) C:\Users\Татьяна\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{BC807D40-2172-4DD4-941D-FC1BE1F21062}] => (Allow) C:\Users\Татьяна\AppData\Local\MediaGet2\mediaget.exe Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
PTS Опубликовано 20 сентября, 2017 Автор Share Опубликовано 20 сентября, 2017 сделала Fixlog Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 20 сентября, 2017 Share Опубликовано 20 сентября, 2017 Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
PTS Опубликовано 20 сентября, 2017 Автор Share Опубликовано 20 сентября, 2017 сделано SecurityCheck.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 20 сентября, 2017 Share Опубликовано 20 сентября, 2017 Еще почистим: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: opensource (HKLM-x32\...\{3677D4D8-E5E0-49FC-B86E-06541CF00BBE}) (Version: 1.0.14960.3876 - Your Company Name) Hidden End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Через Панель управления - Удаление программ - удалите нежелательное ПО: Амиго MediaGet Unity Web Player Кнопка "Яндекс" на панели задач Менеджер браузеров opensource Чистилка Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
PTS Опубликовано 20 сентября, 2017 Автор Share Опубликовано 20 сентября, 2017 готово Fixlog.txt AdwCleanerS0.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 20 сентября, 2017 Share Опубликовано 20 сентября, 2017 Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
PTS Опубликовано 20 сентября, 2017 Автор Share Опубликовано 20 сентября, 2017 Вот. AdwCleanerC0.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти