email-biger@x-mail.pro.ver-CL 1.5.1.0

[Satyr 0]

Выложите в архиве с паролем virus на https://sendspace.com и пришлите ссылку на скачиванием мне в личные сообщения

 

Добрый вечер. Есть тело. Похоже, тот же случай, утро 29.11.2018

Очень надо восстановить. (((

счет для оплаты - тело вируса.

files - оригиналы и зашифрованные файлы.

Прошу прощения если нарушил правила. :|

 

Сообщение от модератора thyrex

Перенесено из темы

 

Строгое предупреждение от модератора thyrex

Вредоносное вложение удалено

files.zip

[thyrex 1 412]

Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в данной теме.

[Satyr 0]

Порядок оформления запроса о помощи

Логи прикрепите к следующему сообщению в данной теме.

CollectionLog-2018.12.02-09.26.zip

[thyrex 1 412]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пофиксите в HiJack из папки Autologger 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cbeaca6eaceaa62417a484242b251ec0&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cbeaca6eaceaa62417a484242b251ec0&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cbeaca6eaceaa62417a484242b251ec0&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cbeaca6eaceaa62417a484242b251ec0&text=

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Satyr 0]

новые логи

ClearLNK-2018.12.03_07.03.57.rar

CollectionLog-2018.12.03-07.33.zip

[thyrex 1 412]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Satyr 0]

лог FRST

FRSTLog.zip

[thyrex 1 412]

Не похоже, что этот компьютер был источником шифрования. Тут только мусор.

Запустите Farbar Recovery Scan Tool.
В поле Search скопируйте и вставьте:

2AEF02C3-5159-4C81-A688-8D954F0DEE56

Нажмите кнопку Search Registry
На выходе будет файл Search.txt
Прикрепите его к следующему сообщению.



1. Выделите следующий код:

Start::
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-1292428093-1614895754-1801674531-500 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = hxxp://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-ktqk&cof=FORID%3A10&ie=utf-8&q={searchTerms}&sa=%CF%EE%E8%F1%EA&siteurl=inet123.ru%2F#881
DefaultPrefix: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cbeaca6eaceaa62417a484242b251ec0&text= <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx
2018-10-04 13:16 - 2018-10-08 09:12 - 000000000 __SHD C:\Documents and Settings\All Users\Application Data\mkakhmin
2018-09-11 12:28 - 2018-09-11 12:28 - 000000000 __SHD C:\Documents and Settings\All Users\Application Data\gckkijfp
2018-11-15 13:07 - 2018-11-15 13:07 - 000000000 __SHD C:\Documents and Settings\All Users\Application Data\haaohain
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.21.135\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.25.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.27.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.33.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.2.183.39\goopdate.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.23.9\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.30.3\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.31.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.28.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.21.145\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.21.153\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.28.13\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.29.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.33.3\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.24.15\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{91A41FCC-BC02-42D8-A36E-0D27FF9BFFC8}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.33.7\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.21.149\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.22.3\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.21.165\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.26.9\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.32.7\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.29.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.25.11\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-1292428093-1614895754-1801674531-500_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Update\1.3.28.15\psuser.dll => No File
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:1CE11B51 [154]
File: C:\Documents and Settings\Admin\tmpall.js
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Satyr 0]

logs

search-fix.zip

[thyrex 1 412]

Выполните скрипт в AVZ из папки Autologger

begin
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{2AEF02C3-5159-4C81-A688-8D954F0DEE56}_NewSearch');
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\YUCache\{2AEF02C3-5159-4C81-A688-8D954F0DEE56}_NewSearch');
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2AEF02C3-5159-4C81-A688-8D954F0DEE56}_NewSearch');
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2AEF02C3-5159-4C81-A688-8D954F0DEE56}_NewSearch');
RebootWindows(true);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

С расшифровкой помочь не сможем.