Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Ваши файлы были зашифрованы .cbf (заявка № 185995)

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    13
    Вес репутации
    33

    Ваши файлы были зашифрованы .cbf

    Здравствуйте. Сотрудники в почте открыли "Отчет по взаиморасчетам" и на экране появилась надпись "Ваши файлы заблокированы и т.д."
    Помогите пожалуйста восстановить файлы. Все логи по указанным вами программам во вложении
    Вложения Вложения
    Последний раз редактировалось asher72; 25.06.2015 в 07:56. Причина: добавление файлов

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) asher72, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    13
    Вес репутации
    33

    Запрошенный файл

    Высылаю лог
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    13
    Вес репутации
    33

    Лог после очистки

    Лог после очистки
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    13
    Вес репутации
    33

    Логи

    Логи
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    information

    Уведомление

    Скрипт нужно выполнять в безопасном режиме



    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\gl-buh\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2014-11-19]
      OPR Extension: (Ultimate Discounter) - C:\Documents and Settings\gl-buh\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-11-19]
      OPR Extension: (APIHelper) - C:\Documents and Settings\gl-buh\Application Data\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-01-22]
      R2 BDSGRTP; C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe [1931880 2014-11-19] (百度在线网络技术(北京)有限公司)
      S2 ir16_32; C:\WINDOWS\System32\svchost.exe [14336 2008-04-15] (Microsoft Corporation)
      S2 wlanmgr; C:\WINDOWS\System32\svchost.exe [14336 2008-04-15] (Microsoft Corporation)
      R1 bd0001; C:\WINDOWS\System32\DRIVERS\bd0001.sys [73032 2014-11-17] (Baidu)
      R1 bd0004; C:\WINDOWS\System32\DRIVERS\bd0004.sys [183112 2014-11-19] (Baidu)
      R2 BDArKit; C:\WINDOWS\System32\DRIVERS\BDArKit.sys [145224 2014-12-29] (Baidu Technology)
      R1 BDMWrench; C:\WINDOWS\System32\DRIVERS\BDMWrench.sys [253000 2015-01-19] (Baidu)
      S1 bd0002; system32\DRIVERS\bd0002.sys [X]
      S1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X]
      R2 d3dadapter; C:\WINDOWS\System32\d3dadapter.dll [183838 2015-02-17] () [File not signed]
      NETSVC: KBDMAI -> No Registry Path.
      NETSVC: d3dadapter -> C:\Windows\System32\d3dadapter.dll ()
      NETSVC: wlanmgr -> No Registry Path.
      NETSVC: ir16_32 -> No Registry Path.
      2015-06-24 18:14 - 2015-06-24 18:14 - 0156286 _____ () C:\Program Files\desk.jpg
      2015-06-24 18:14 - 2015-06-24 18:14 - 0156286 _____ () C:\Program Files\desk1.bmp
      2015-06-24 15:18 - 2015-06-24 16:13 - 0000081 _____ () C:\Program Files\VUXIRLMJAZ.ZXF
      2014-01-24 12:36 - 2014-01-24 12:36 - 0000006 _____ () C:\Documents and Settings\gl-buh\Application Data\smw_inst
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    13
    Вес репутации
    33

    Fixlog.txt

    Fixlog.txt
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Написал же вроде по-русски, что скрипт нужно выполнять в безопасном режиме, нет все равно выполняют в обычном режиме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #12
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    13
    Вес репутации
    33

    Fixlog.txt

    Сори за невнимательность. Вот правильный файл
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Новые логи FRST.txt и Addition.txt сделайте из обычного режима.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    13
    Вес репутации
    33

    FRST.txt

    FRST.txt
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте ComboFix здесь и сохраните в корень диска С.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #16
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    13
    Вес репутации
    33

    Скрытый текст

    ComboFix 15-07-07.01 - gl-buh 07.07.2015 14:19:33.1.4 - x86
    Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.2986.2294 [GMT 10:00]
    Running from: C:\ComboFix.exe
    AV: Doctor Web Anti-Virus *Disabled/Outdated* {3454C8F1-ECBC-4180-A6F4-04632FBA762B}
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\windows\system32\drivers\etc\hosts1
    c:\windows\system32\fdclient.dll
    c:\windows\system32\winlogon.bak
    c:\windows\wininit.ini
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    -------\Legacy_BD0001
    -------\Legacy_BD0002
    -------\Legacy_RADDRVV3
    -------\Service_bd0001
    -------\Service_bd0002
    -------\Service_raddrvv3
    .
    .
    ((((((((((((((((((((((((( Files Created from 2015-06-07 to 2015-07-07 )))))))))))))))))))))))))))))))
    .
    .
    2015-07-07 02:46 . 2015-07-07 03:00 -------- d-----w- c:\windows\system32\NtmsData
    2015-07-03 04:29 . 2015-07-03 04:29 -------- d-----w- c:\documents and settings\gl-buh\Local Settings\Application Data\Torch
    2015-07-03 04:29 . 2015-07-03 04:29 -------- d-----w- c:\documents and settings\gl-buh\Local Settings\Application Data\Orbitum
    2015-07-03 04:29 . 2015-07-03 04:29 -------- d-----w- c:\documents and settings\gl-buh\Local Settings\Application Data\Kometa
    2015-07-03 04:29 . 2015-07-03 04:29 -------- d-----w- c:\documents and settings\gl-buh\Local Settings\Application Data\Amigo
    2015-07-02 01:53 . 2015-07-07 01:37 -------- d-----w- C:\СБиС++ Документооборот
    2015-07-02 01:03 . 2015-07-02 01:03 -------- d-----w- c:\program files\TeamViewer
    2015-07-01 06:15 . 2015-07-01 06:15 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
    2015-06-30 05:54 . 2015-07-06 00:40 -------- d-----w- C:\FRST
    2015-06-25 23:36 . 2015-06-29 00:27 -------- d-----w- C:\AdwCleaner
    2015-06-25 23:35 . 2015-06-25 22:59 2244096 ----a-w- C:\adwcleaner_4.207.exe
    2015-06-24 23:37 . 2008-04-14 11:14 53120 ----a-w- c:\windows\system32\drivers\i8042prt.sys
    2015-06-24 23:11 . 2015-06-24 23:11 -------- d-----w- C:\7548001e97937d0c31c1d81c5da5
    2015-06-13 01:29 . 2015-06-13 01:29 -------- d-sh--w- c:\documents and settings\gl-buh\PrivacIE
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2015-06-23 20:41 . 2012-12-03 23:05 778416 ----a-w- c:\windows\system32\FlashPlayerApp.exe
    2015-06-23 20:41 . 2012-12-03 23:05 142512 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
    2015-06-23 20:41 . 2015-04-16 17:41 18174128 ----a-w- c:\windows\system32\FlashPlayerInstaller.exe
    2015-05-25 23:39 . 2008-04-15 12:00 509440 ----a-w- c:\windows\system32\winlogon.exe
    2015-04-24 22:48 . 2015-04-24 22:48 8367276 ----a-w- C:\PCRADIO_4.0.5.exe
    .
    .
    ------- Sigcheck -------
    Note: Unsigned files aren't necessarily malware.
    .
    [-] 2015-05-25 . FAD4579B18A9E134B5BAC0A88874E2FD . 509440 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
    [7] 2008-04-14 . B3B5D5855127E240C88451030AAEE76E . 509440 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sbis Launcher"="c:\documents and settings\gl-buh\Application Data\SbisLauncher\Launcher.exe" [2015-07-01 404040]
    "SbisLoader"="c:\сбис++ документооборот\Мониторинг\SbisMon.exe" [2015-06-26 15944]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-02 142360]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-02 176152]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-02 145944]
    "SpIDerAgent"="c:\program files\DrWeb\spideragent.exe" [2013-07-31 7540480]
    "Linia Crash Reporter"="c:\program files\DevLine\Linia SKW\crash_reporter.exe" [2012-10-08 305152]
    "eTMonitor"="c:\program files\Aladdin\eToken\PKIClient\x32\PKIMonitor.exe" [2009-12-31 230752]
    "MegaFon_MegaFonInternet"="c:\program files\MegaFon\MegaFon Internet\MegaFonInternet.exe" [2014-04-29 408080]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
    .
    c:\documents and settings\gl-buh\Главное меню\Программы\Автозагрузка\
    Запустить Radmin Server.lnk - c:\windows\system32\rserver30\rserver3.exe /start [2009-10-9 1242504]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cpcsp]
    2010-08-12 13:34 645704 ----a-w- c:\program files\Crypto Pro\CSP\cpcspi.dll
    .
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 wdigest cpssl
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DrWebEngine]
    @="Service"
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Speed Launch.lnk]
    path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Reader Speed Launch.lnk
    backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Synchronizer.lnk]
    path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Reader Synchronizer.lnk
    backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^gl-buh^Главное меню^Программы^Автозагрузка^OpenOffice.org 3.4.1.lnk]
    path=c:\documents and settings\gl-buh\Главное меню\Программы\Автозагрузка\OpenOffice.org 3.4.1.lnk
    backup=c:\windows\pss\OpenOffice.org 3.4.1.lnkStartup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eTMonitor]
    2009-12-31 00:17 230752 ----a-w- c:\program files\Aladdin\eToken\PKIClient\x32\PKIMonitor.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
    2010-08-11 03:31 40983152 ----a-r- c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\DevLine\\Linia SKW\\kernel.exe"=
    "c:\\Program Files\\DevLine\\Linia SKW\\oopnet.exe"=
    "c:\\WINDOWS\\system32\\rserver30\\rserver3.exe"=
    "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "c:\\Program Files\\TeamViewer\\Version9\\TeamViewer.exe"=
    "c:\\Program Files\\TeamViewer\\Version9\\TeamViewer_Service.exe"=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "475:TCP"= 475:TCP:HASP LM 475 TCP
    "475:UDP"= 475:UDP:HASP LM 475 UDP
    "3587:TCP"= 3587:TCP:Группирование одноранговой сети Windows
    "3540:UDP"= 3540:UDPNRP-протокол (Peer Name Resolution Protocol)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
    "AllowInboundEchoRequest"= 1 (0x1)
    .
    R0 DwProt;DrWeb Protection;c:\windows\system32\drivers\dwprot.sys [12.11.2012 10:41 234240]
    R0 SpiderG3;DrWeb file system scanner;c:\windows\system32\drivers\spiderg3.sys [12.11.2012 10:41 167128]
    R1 appdrv01;Application Driver (01);c:\windows\system32\drivers\appdrv01.sys [12.11.2012 21:01 2279808]
    R1 bd0004;bd0004;c:\windows\system32\drivers\bd0004.sys [19.11.2014 17:10 183112]
    R1 BDMWrench;BDMWrench;c:\windows\system32\drivers\BDMWrench.sys [25.02.2015 12:20 253000]
    R1 CProCtrl;КриптоПро CSP драйвер;c:\windows\system32\drivers\CProCtrl.sys [02.08.2010 23:36 56144]
    R1 DrWebWfp;DrWebWfp;c:\windows\system32\drivers\dw_wfp.sys [12.11.2012 10:41 57088]
    R2 BDArKit;BDArKit;c:\windows\system32\drivers\BDArKit.SYS [19.02.2015 12:08 145224]
    R2 BDSGRTP;BDSGRTP Service;c:\program files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe [19.11.2014 17:10 1931880]
    R2 Consult;Consult;c:\windows\system32\drivers\Consult.sys [12.11.2012 9:54 3008]
    R2 cpcsp1;КриптоПро CSP KC1;c:\windows\system32\svchost.exe -k cpcsp [15.04.2008 22:00 14336]
    R2 DrWebAVService;Dr.Web Control Service;c:\program files\DrWeb\dwservice.exe --loglevel=inf --logfile="c:\documents and settings\All Users\Application Data\Doctor Web\Logs\dwservice.log" --> c:\program files\DrWeb\dwservice.exe --loglevel=inf --logfile=c:\documents and settings\All Users\Application Data\Doctor Web\Logs\dwservice.log [?]
    R2 eTSrv;ETOKSRV;c:\program files\Aladdin\eToken\PKIClient\x32\eTSrv.exe [31.12.2009 10:17 12640]
    R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe -s --> c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe -s [?]
    R3 huawei_enumerator;huawei_enumerator;c:\windows\system32\drivers\ew_jubusenum.sys [20.02.2015 19:14 77824]
    R3 RTIFDH;RTIFDH;c:\windows\system32\drivers\rtIFDH.sys [12.11.2012 9:01 13312]
    R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [12.11.2012 7:51 2127728]
    S?2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc --> c:\windows\System32\appdrvrem01.exe svc [?]
    S2 1C:Enterprise 8.3 Server Agent;Агент сервера 1С:Предприятия 8.3;c:\program files\1cv8\8.3.5.1383\bin\ragent.exe [12.12.2014 18:12 38704]
    S3 4587FE86859F2704;4587FE86859F2704;\??\c:\documents and settings\gl-buh\local settings\temp\25336956.sys --> c:\documents and settings\gl-buh\local settings\temp\25336956.sys [?]
    S3 4587FE8703B50B22;4587FE8703B50B22;\??\c:\documents and settings\gl-buh\local settings\temp\DFE9D538.sys --> c:\documents and settings\gl-buh\local settings\temp\DFE9D538.sys [?]
    S3 AKSUP;AKSUP;c:\windows\system32\drivers\aksup.sys [29.12.2014 10:33 34472]
    S3 cglptnt;cglptnt;c:\totalcmd\CGLPTNT.SYS [26.02.2013 8:06 7888]
    S3 DrWebEngine;Dr.Web Scanning Engine (DrWebEngine);c:\program files\Common Files\Doctor Web\Scanning Engine\dwengine.exe [12.11.2012 10:41 1913680]
    S3 DrWebNetFilter;Dr.Web Net Filtering Service;c:\program files\DrWeb\dwnetfilter.exe [12.11.2012 10:41 2226528]
    S3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\drivers\ew_hwusbdev.sys [20.02.2015 19:14 95232]
    S3 ew_usbenumfilter;huawei_CompositeFilter;c:\windows\system32\drivers\ew_usbenumfilter.sys [20.02.2015 19:14 11904]
    S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbserver.exe -s --> c:\program files\Firebird\Firebird_2_0\bin\fbserver.exe -s [?]
    S3 hwusb_cdcacm;hwusb_cdcacm;c:\windows\system32\drivers\ew_cdcacm.sys [20.02.2015 19:14 110848]
    S3 hwusb_cdcecm;hwusb_cdcecm;c:\windows\system32\drivers\ew_cdcecm.sys [20.02.2015 19:14 117888]
    S4 HASP Loader;HASP Loader;c:\windows\system32\nhsrvice.exe -service --> c:\windows\system32\nhsrvice.exe -service [?]
    .
    --- Other Services/Drivers In Memory ---
    .
    *NewlyCreated* - WS2IFSL
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
    cpcsp REG_MULTI_SZ cpcsp1
    AudioDrv REG_MULTI_SZ wsaudio
    Intel(R) REG_MULTI_SZ ihctrl32
    .
    Contents of the 'Scheduled Tasks' folder
    .
    2015-07-07 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-03 20:41]
    .
    2012-11-12 c:\windows\Tasks\Dr.Web Daily scan.job
    - c:\program files\DrWeb\dwscanner.exe [2012-11-12 00:41]
    .
    2015-06-08 c:\windows\Tasks\Уведомление о завершении поддержки Microsoft Windows XP ежемесячно.job
    - c:\windows\system32\xp_eos.exe [2015-05-13 23:28]
    .
    2015-07-07 c:\windows\Tasks\Уведомлением о завершении поддержки Microsoft Windows XP при входе.job
    - c:\windows\system32\xp_eos.exe [2015-05-13 23:28]
    .
    .
    ------- Supplementary Scan -------
    .
    uStart Page = hxxp://mail.ru/cnt/10445?gp=openpart5
    IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    TCP: Interfaces\{CA3598F1-0341-4148-BE8C-B51B307F6FD0}: NameServer = 8.8.8.8,8.8.4.4
    FF - ProfilePath - c:\documents and settings\gl-buh\Application Data\Mozilla\Firefox\Profiles\r10zxv7n.default\
    FF - prefs.js: browser.startup.homepage - hxxp://mail.ru/cnt/10445?gp=openpart5
    FF - prefs.js: keyword.URL - hxxp://go.mail.ru/search?fr=ntg&q=
    /*
    * Mozilla user config file
    * Always enable SbisPluginClient
    */
    FF - user.js: plugin.state.npsbispluginclient - 2
    .
    - - - - ORPHANS REMOVED - - - -
    .
    MSConfigStartUp-amigo - c:\documents and settings\gl-buh\Local Settings\Application Data\Amigo\Application\amigo.exe
    MSConfigStartUp-BaiduClient - c:\documents and settings\gl-buh\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe
    MSConfigStartUp-MailRuUpdater - c:\documents and settings\gl-buh\Local Settings\Application Data\MailRu\MailRuUpdater.exe
    MSConfigStartUp-pcket_x64 - c:\program files\BaiduEx\uninit.exe
    MSConfigStartUp-pcket_x86 - c:\program files (x86)\BaiduEx\uninit.exe
    MSConfigStartUp-pr - c:\program files\Cверка_май_2015.scr
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2015-07-07 14:26
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    scanning hidden processes ...
    .
    scanning hidden autostart entries ...
    .
    scanning hidden files ...
    .
    scan completed successfully
    hidden files: 0
    .
    **************************************************************************
    .
    --------------------- LOCKED REGISTRY KEYS ---------------------
    .
    [HKEY_USERS\S-1-5-21-1229272821-1844823847-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*]
    @Class="Shell"
    .
    [HKEY_USERS\S-1-5-21-1229272821-1844823847-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*\OpenWithList]
    @Class="Shell"
    .
    --------------------- DLLs Loaded Under Running Processes ---------------------
    .
    - - - - - - - > 'winlogon.exe'(780)
    c:\program files\Crypto Pro\CSP\detoured.dll
    .
    - - - - - - - > 'lsass.exe'(836)
    c:\program files\Crypto Pro\CSP\detoured.dll
    .
    - - - - - - - > 'explorer.exe'(304)
    c:\windows\system32\WININET.dll
    c:\program files\Crypto Pro\CSP\detoured.dll
    .
    - - - - - - - > 'csrss.exe'(756)
    c:\program files\Crypto Pro\CSP\detoured.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    c:\windows\System32\SCardSvr.exe
    c:\windows\System32\appdrvrem01.exe
    c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe
    c:\program files\MegaFon\MegaFon Internet\MegaFonInternetService.exe
    c:\windows\system32\rserver30\RServer3.exe
    c:\program files\DevLine\Linia SKW\kernel.exe
    c:\program files\DevLine\Linia SKW\dumper.exe
    c:\program files\DevLine\Linia SKW\oopnet.exe
    c:\program files\TeamViewer\Version9\TeamViewer_Service.exe
    c:\windows\system32\rserver30\FamItrfc.Exe
    c:\c:\WINDOWS\system32\rserver30\rserver3.exe
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Completion time: 2015-07-07 14:26:49 - machine was rebooted
    ComboFix-quarantined-files.txt 2015-07-07 04:26
    .
    Pre-Run: 56*649*584*640 байт свободно
    Post-Run: 58*540*961*792 байт свободно
    .
    WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect
    .
    - - End Of File - - 987415B266B5B53D01CAF1D3026861E9
    8F558EB6672622401DA993E1E865C861
    Скрыть
    Последний раз редактировалось mike 1; 08.07.2015 в 10:49.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
    Код:
    KillAll::
    
    File::
    
    Driver::
    bd0004
    BDMWrench
    BDArKit
    BDSGRTP
    
    Folder::
    c:\program files\Common Files\Baidu
    c:\documents and settings\gl-buh\AppData\Local\Baidu
    
    Registry::
    
    FileLook::
    
    DirLook::
    
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #18
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    13
    Вес репутации
    33

    Готово

    Файл
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



    Скачайте OTCleanIt, запустите, нажмите Clean up
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. #20
    Junior Member Репутация
    Регистрация
    25.06.2015
    Сообщений
    13
    Вес репутации
    33
    А что должно произойти?

Страница 1 из 2 12 Последняя

Похожие темы

  1. Ваши файлы были зашифрованы
    От korotia в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 04.06.2015, 23:23
  2. Ваши файлы были зашифрованы.
    От samurayjkeee в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 04.06.2015, 19:01
  3. Ваши файлы были зашифрованы.
    От Hammer в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 03.06.2015, 01:37
  4. Ваши файлы были зашифрованы.
    От alesancho в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 04.04.2015, 13:34
  5. Ваши файлы были зашифрованы
    От ser3752 в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 13.02.2015, 15:44

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00278 seconds with 18 queries