Вирус-шифровальщик. Помогите!) [Trojan-Ransom.NSIS.Onion.jei ]

**Floz** · 18.02.2016, 21:49

Доброго времени суток. На компе все файлы с расширениями вроде .doc,.rtf,.jpg, и другие перестали открываться.
Добавилось расширение ко всем .crime

Каждый раз, при открытии такого файла открывается блокнот со следующим содержанием:

Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/...d-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке http://lmlxhqpsvdylun4v.onion в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте

--------------------------------------------------------------

Login: f8d69fc1
Password: 718c860240647d6a46608ec0cb2b9738
Внимание: выкладывать 'Password' в публичный доступ ЗАПРЕЩЕНО.

ссылка на несколько зашифрованных фалов:
https://drive.google.com/folderview?...k0&usp=sharing

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.02.2016, 21:50

Уважаемый(ая) Floz, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 19.02.2016, 12:00

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 StopService('QMUdisk');
 StopService('softaal');
 StopService('SSFK');
 StopService('TAOKernelDriver');
 StopService('TS888');
 StopService('TSDefenseBt');
 StopService('TsFltMgr');
 StopService('TSKSP');
 StopService('tsnethlp');
 StopService('TSSK');
 StopService('TSSysKit');
 StopService('WdMan');
 DeleteFile('SSFK.sys','32');
 DeleteFile('TSDefenseBt.sys','32');
 DeleteFile('TSKSP.sys','32');
 DeleteFile('TSSysKit.sys','32');
 DeleteService('QMUdisk');
 DeleteService('softaal');
 DeleteService('SSFK');
 DeleteService('TAOKernelDriver');
 DeleteService('TS888');
 DeleteService('TSDefenseBt');
 DeleteService('TsFltMgr');
 DeleteService('TSKSP');
 DeleteService('tsnethlp');
 DeleteService('TSSK');
 DeleteService('TSSysKit');
 DeleteService('WdMan');
 QuarantineFile('C:\Program Files\company\gupdate\gupdate.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\exnscan.dll','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QMGCShellExt.dll','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QMIEsafeDll.dll','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QMIpc.dll','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QMUdisk.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QQSysMon.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\softaal.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TS888.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TSKsp.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TsNetHlp.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TSSysKit.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TSWebMon.dat','');
 QuarantineFile('C:\Program Files\Torrent Search\bWAeOsw.exe','');
 QuarantineFile('c:\programdata\hwdmh\wdman.exe','');
 QuarantineFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT','');
 QuarantineFile('C:\PROGRA~1\GROOVE~1\Secufe.bat','');
 QuarantineFile('C:\Users\вфаф\AppData\Local\BrowserAir\47.0.0.5\updater.exe','');
 QuarantineFile('C:\Users\вфаф\AppData\Roaming\567377707A_1036\eOfqMF7jpj.exe','');
 QuarantineFile('c:\users\вфаф\appdata\roaming\tor\tor.exe','');
 QuarantineFile('c:\users\вфаф\appdata\roaming\utorrent\updates\3.4.5_41712\utorrentie.exe','');
 QuarantineFile('C:\Windows\system32\drivers\cherimoya.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\sdfhgdf.sys','');
 QuarantineFile('C:\Windows\system32\Drivers\TAOKernel.sys','');
 QuarantineFile('C:\Windows\system32\Drivers\TFsFlt.sys','');
 QuarantineFile('C:\Windows\system32\Drivers\TS888.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\TSDefenseBt.sys','');
 QuarantineFile('C:\Windows\system32\drivers\TsFltMgr.sys','');
 QuarantineFile('C:\Windows\system32\tssk.sys','');
 QuarantineFile('QQSysMon.sys','');
 QuarantineFile('SSFK.sys','');
 QuarantineFile('TSDefenseBt.sys','');
 QuarantineFile('TSKSP.sys','');
 QuarantineFile('TSSysKit.sys','');
 DeleteFile('C:\Program Files\company\gupdate\gupdate.exe','32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\exnscan.dll','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QMGCShellExt.dll','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QMIEsafeDll.dll','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QMIpc.dll','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QQSysMon.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\softaal.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TS888.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TSKsp.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TsNetHlp.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TSSysKit.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TSWebMon.dat','32');
 DeleteFile('C:\Program Files\Torrent Search\bWAeOsw.exe','32');
 DeleteFile('C:\ProgramData\HWdMH\WdMan.exe','32');
 DeleteFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT','32');
 DeleteFile('C:\PROGRA~1\GROOVE~1\Secufe.bat','32');
 DeleteFile('C:\Users\вфаф\AppData\Local\BrowserAir\47.0.0.5\updater.exe','32');
 DeleteFile('C:\Users\вфаф\AppData\Roaming\567377707A_1036\eOfqMF7jpj.exe','32');
 DeleteFile('C:\Windows\system32\Drivers\TAOKernel.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\TFsFlt.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\TS888.sys','32');
 DeleteFile('C:\Windows\system32\drivers\TsFltMgr.sys','32');
 DeleteFile('C:\Windows\system32\Tasks\Efecgalr','32');
 DeleteFile('C:\Windows\system32\Tasks\IBUpd2','32');
 DeleteFile('C:\Windows\system32\tssk.sys','32');
 DeleteFile('C:\Windows\Tasks\567377707A_1036.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','32'); 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
 BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

- Сделайте лог Check Browsers' LNK и приложите его в теме.

**Floz** · 06.03.2016, 14:04

Карантин отправил.

SQ · 06.03.2016, 17:02

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**Floz** · 07.03.2016, 09:35

Готово.

SQ · 07.03.2016, 17:46

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Floz** · 09.03.2016, 10:05

После окончания сканирования появилось 2 файла FRST.txt , прикрепляю оба.

SQ · 09.03.2016, 12:02

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1559687150-156765802-484131785-1001\...\Run: [uTorrent] => C:\Users\вфаф\AppData\Roaming\uTorrent\uTorrent.exe [2065944 2016-02-10] (BitTorrent Inc.)
HKU\S-1-5-21-1559687150-156765802-484131785-1001\...\Run: [TorProject] => C:\Users\вфаф\AppData\Roaming\tor\tor.exe [2420224 2016-02-14] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=97530839_hao_pg
HKU\S-1-5-21-1559687150-156765802-484131785-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=97530839_hao_pg
SearchScopes: HKU\S-1-5-21-1559687150-156765802-484131785-1001 -> {280FCDDD-E3B6-4069-A90F-CEA8791A5D18} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=G2Gzamobl7428,68064cec-db17-49b8-87b0-c15401319b94,
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1455463136&z=dea6a9de9960cd281119543g1z8w6wdz6q8c7g2cbw&from=face&uid=WDCXWD1600YS-01SHB1_WD-WCAP0273384733847
CHR StartupUrls: Default -> "","hxxps://isearch.avg.com/?cid={6936BF02-2A06-4F30-A331-A233B3CDDFC5}&mid=16601afcda654e469ba2bd479134b9a3-f0e6bc47551fb8f729ee9c1fbc96c5d6ede6433e&lang=ru&ds=hk011&pr=sa&d=2012-09-10 
CHR Extension: (Kami (formerly Notable PDF)) - C:\Users\вфаф\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecnphlgnajanjnkcmbpancdjoidceilk [2016-03-09]
CHR HKU\S-1-5-21-1559687150-156765802-484131785-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jlcgehabolcakkjhgmgpkagpolbjlhfa] - hxxps://clients2.google.com/service/update2/crx
S2 SSFK; no ImagePath
S3 TSSK; C:\Windows\System32\tssk.sys [74040 2015-12-28] (电脑管家)
S1 cherimoya; system32\drivers\cherimoya.sys [X]
S1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QMUdisk.sys [X]
S1 softaal; \??\C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\softaal.sys [X]
S2 tsnethlp; \??\C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TsNetHlp.sys [X]
2016-02-17 16:17 - 2016-03-09 09:52 - 00000438 _____ C:\Windows\Tasks\567377707A_1036.job
2016-02-17 16:17 - 2016-02-18 09:43 - 00000000 ____D C:\Users\вфаф\AppData\Roaming\567377707A_1036
2016-02-17 14:09 - 2016-02-17 14:09 - 00000000 ____D C:\Users\Все пользователи\ZUrsEqh
2016-02-17 14:09 - 2016-02-17 14:09 - 00000000 ____D C:\Users\Все пользователи\ADggaHaim
2016-02-17 14:09 - 2016-02-17 14:09 - 00000000 ____D C:\ProgramData\ZUrsEqh
2016-02-17 14:09 - 2016-02-17 14:09 - 00000000 ____D C:\ProgramData\ADggaHaim
Folder: C:\Program Files\Company
2016-02-16 16:27 - 2016-02-16 16:27 - 00000000 ____D C:\Users\Все пользователи\VYvoTXBMEy
2016-02-16 16:27 - 2016-02-16 16:27 - 00000000 ____D C:\Users\Все пользователи\TcRHankTH
2016-02-16 16:27 - 2016-02-16 16:27 - 00000000 ____D C:\ProgramData\VYvoTXBMEy
2016-02-16 16:27 - 2016-02-16 16:27 - 00000000 ____D C:\ProgramData\TcRHankTH
Folder: C:\Users\вфаф\AppData\Roaming\TheyllGlasswortChromatophore
2016-02-15 20:36 - 2016-03-07 20:29 - 00000000 ____D C:\Program Files\11009F80-1455557813-5D01-74D4-001BFC81366F
2016-02-15 20:32 - 2016-03-07 20:29 - 00000000 ____D C:\Program Files\11009F80-1455557575-5D01-74D4-001BFC81366F
2016-02-15 20:30 - 2016-03-07 20:29 - 00000000 ____D C:\Program Files\11009F80-1455557450-5D01-74D4-001BFC81366F
2016-02-15 20:16 - 2016-02-15 20:16 - 00000000 ____D C:\Users\Все пользователи\kkVFgTwy
2016-02-15 20:16 - 2016-02-15 20:16 - 00000000 ____D C:\Users\Все пользователи\DXFiCcLBA
2016-02-15 20:16 - 2016-02-15 20:16 - 00000000 ____D C:\ProgramData\kkVFgTwy
2016-02-14 20:28 - 2016-02-14 20:28 - 00000000 ____D C:\Users\Все пользователи\obxlgvUUi
2016-02-14 20:28 - 2016-02-14 20:28 - 00000000 ____D C:\ProgramData\obxlgvUUi
2016-02-14 18:38 - 2016-02-14 18:38 - 00000000 ____D C:\Users\胁褎邪褎
2016-02-14 18:21 - 2016-03-07 20:29 - 00000000 ____D C:\Program Files\gmsd_ru_005010238
2016-02-14 18:19 - 2016-03-07 20:29 - 00000000 ____D C:\Program Files\SFK
2016-02-14 18:19 - 2016-03-07 20:29 - 00000000 ____D C:\Program Files\rec_en_77
2016-02-14 18:19 - 2016-03-07 20:29 - 00000000 ____D C:\Program Files\groover140220161441
2016-02-14 18:19 - 2016-02-14 18:19 - 00001016 _____ C:\Users\Public\Desktop\Max Driver Updater.lnk
Folder: C:\Users\вфаф\AppData\Roaming\FilleOneu
Folder: C:\Users\вфаф\AppData\LocalLow\Company
Folder: C:\Users\вфаф\AppData\Local\Tempfolder
2016-02-14 18:17 - 2016-03-07 20:29 - 00000000 ____D C:\Program Files\SpaceSoundPro
2016-02-14 18:17 - 2016-03-07 20:29 - 00000000 ____D C:\Program Files\Sound+
2016-02-14 18:17 - 2016-02-14 18:27 - 00000000 ____D C:\Users\вфаф\AppData\Roaming\CryptoDB
2016-02-14 18:15 - 2016-02-18 08:44 - 00030392 _____ (Tencent) C:\Windows\system32\Drivers\TS888.sys
2016-02-14 18:15 - 2016-02-14 18:15 - 00000000 ____D C:\Users\Все пользователи\ZbNuWDF
2016-02-14 18:15 - 2016-02-14 18:15 - 00000000 ____D C:\Users\Все пользователи\fDKdhdPEN
2016-02-14 18:15 - 2016-02-14 18:15 - 00000000 ____D C:\ProgramData\ZbNuWDF
2016-02-14 18:15 - 2016-02-14 18:15 - 00000000 ____D C:\ProgramData\fDKdhdPEN
Folder: C:\ProgramData\Appverifier
2016-02-14 15:27 - 2016-02-14 15:27 - 00000000 ____D C:\Users\怍圄\AppData\Roaming\Tencent
2016-02-14 15:27 - 2016-02-14 15:27 - 00000000 ____D C:\Users\怍圄
2016-02-14 15:27 - 2015-12-28 18:38 - 00074040 _____ (电脑管家) C:\Windows\system32\TSSK.sys
2016-02-14 15:26 - 2016-03-07 20:29 - 00000000 ____D C:\Program Files\Common Files\Tencent
2016-02-14 15:25 - 2016-03-07 20:29 - 00000000 ____D C:\Users\вфаф\AppData\Roaming\Tencent
2016-02-14 15:25 - 2016-03-07 20:29 - 00000000 ____D C:\Program Files\Tencent
2016-02-14 15:25 - 2016-02-14 15:25 - 00000000 ____D C:\Users\вфаф\AppData\Roaming\ProductData
2016-02-14 15:24 - 2016-03-07 20:29 - 00000000 ____D C:\Users\Все пользователи\Tencent
2016-02-14 15:24 - 2016-03-07 20:29 - 00000000 ____D C:\ProgramData\Tencent
2016-02-14 15:23 - 2016-02-14 19:02 - 00000000 ____D C:\ProgramData\ProductData
2016-02-14 15:12 - 2016-03-07 09:30 - 00000304 _____ C:\Windows\Tasks\Update Service for Torrent Search2.job
2016-02-14 15:12 - 2016-02-18 09:43 - 00000000 ____D C:\Users\вфаф\AppData\Local\Hostinstaller
2016-02-14 15:12 - 2016-02-14 15:23 - 00000000 ____D C:\Users\вфаф\AppData\Roaming\MailProducts
2016-02-14 15:12 - 2016-02-14 15:12 - 00000000 ____D C:\Users\вфаф\AppData\LocalLow\Unity
2016-02-14 15:12 - 2016-02-14 15:12 - 00000000 ____D C:\Users\вфаф\AppData\Local\Unity
2016-02-14 15:13 - 2016-02-14 15:13 - 08332800 _____ C:\Users\вфаф\AppData\Roaming\Update_6bAgdktq12Odnvf.exe
2016-02-14 15:13 - 2016-02-14 15:13 - 00025088 _____ C:\Users\вфаф\AppData\Roaming\API.dll
Folder: C:\Users\вфаф\AppData\Roaming\Orion
2016-02-14 15:11 - 2016-03-09 09:52 - 00000304 _____ C:\Windows\Tasks\Update Service for Torrent Search.job
2016-02-14 15:11 - 2016-03-07 20:29 - 00000000 ____D C:\Program Files\Torrent Search
2016-02-14 15:11 - 2016-02-18 09:43 - 00000000 ____D C:\Users\вфаф\AppData\Roaming\FreeVPN
2016-02-14 15:11 - 2016-02-14 21:06 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free VPN
2016-02-14 15:11 - 2016-02-14 15:11 - 00000000 ____D C:\Users\вфаф\AppData\Roaming\MyDesktop
2016-02-14 15:11 - 2016-02-14 15:11 - 00000000 ____D C:\Users\вфаф\AppData\Local\xevGWRl
2016-02-14 15:11 - 2016-02-14 15:11 - 00000000 ____D C:\Users\Все пользователи\lbBQbjXJ
2016-02-14 15:11 - 2016-02-14 15:11 - 00000000 ____D C:\Users\Все пользователи\aciXmviWfF
2016-02-14 15:11 - 2016-02-14 15:11 - 00000000 ____D C:\ProgramData\lbBQbjXJ
2016-02-14 15:11 - 2016-02-14 15:11 - 00000000 ____D C:\ProgramData\aciXmviWfF
2016-03-07 09:34 - 2016-01-03 18:17 - 00000000 ____D C:\Users\вфаф\Desktop\Tor Browser
2016-02-16 11:49 - 2016-02-16 11:49 - 0046306 _____ () C:\Users\вфаф\AppData\Roaming\gre.hyp
C:\Users\вфаф\AppData\Local\Temp\amisetup0049__17519.exe
C:\Users\вфаф\AppData\Local\Temp\amisetup0121__16608.exe
C:\Users\вфаф\AppData\Local\Temp\amisetup0173__16608.exe
C:\Users\вфаф\AppData\Local\Temp\amisetup0493__13749.exe
C:\Users\вфаф\AppData\Local\Temp\amisetup0542__13749.exe
C:\Users\вфаф\AppData\Local\Temp\amisetup0581__16581.exe
C:\Users\вфаф\AppData\Local\Temp\amisetup0608__16581.exe
C:\Users\вфаф\AppData\Local\Temp\amisetup2484__10235.exe
C:\Users\вфаф\AppData\Local\Temp\amisetup2549__10235.exe
C:\Users\вфаф\AppData\Local\Temp\amisetup2621__16582.exe
C:\Users\вфаф\AppData\Local\Temp\amisetup2673__16582.exe
C:\Users\вфаф\AppData\Local\Temp\amisetup2765__17519.exe
C:\Users\вфаф\AppData\Local\Temp\x36.Marktbar.exe
C:\Users\胁褎邪褎\AppData\Local\Temp\TempQMSystemSetup_11.3.17201.218_1128111827(1).exe
C:\Users\胁褎邪褎\AppData\Local\Temp\TempQMSystemSetup_11.3.17201.218_1128111827(2).exe
C:\Users\胁褎邪褎\AppData\Local\Temp\TempQMSystemSetup_11.3.17201.218_1128111827(3).exe
C:\Users\胁褎邪褎\AppData\Local\Temp\TempQMSystemSetup_11.3.17201.218_1128111827.exe
C:\Users\胁褎邪褎\AppData\Local\Temp\TempQQPhoneManager-5.5.1_710201.4892.pa(1).exe
C:\Users\胁褎邪褎\AppData\Local\Temp\TempQQPhoneManager-5.5.1_710201.4892.pa(2).exe
C:\Users\胁褎邪褎\AppData\Local\Temp\TempQQPhoneManager-5.5.1_710201.4892.pa(3).exe
C:\Users\胁褎邪褎\AppData\Local\Temp\TempQQPhoneManager-5.5.1_710201.4892.pa.exe
Task: {2E26E9F7-D925-4CA2-9503-F9C846D5A48A} - \Microsoft\Windows\SystemRestore\FreeVPN -> No File <==== ATTENTION
Task: {4269100B-7CAE-4930-A09E-43F3384F0374} - \567377707A_1036 -> No File <==== ATTENTION
Task: {54A29C4D-F141-4CF8-87A8-20C5144BA72A} - \Update Service for Torrent Search2 -> No File <==== ATTENTION
Task: {5EA42683-F1B1-42BF-9931-C836ED68421E} - System32\Tasks\Efecgalr => C:\PROGRA~1\GROOVE~1\Secufe.bat
Task: {63CA78C4-AA4A-4ABC-B106-E91DD2A4D918} - System32\Tasks\IBUpd2 => C:\Users\вфаф\AppData\Local\BrowserAir\47.0.0.5\updater.exe <==== ATTENTION
Task: {68FE8EC7-A9DA-4E9A-A046-E5B54D42112C} - \Soft installer -> No File <==== ATTENTION
Task: {73533F97-9AE0-4ADA-A224-7BBAB3F15BF9} - System32\Tasks\VKSaverUpdate => C:\ProgramData\VKSaver\VKSaver.exe [2015-06-30] (AudioVkontakte.ru) <==== ATTENTION
Task: {E80A0582-038C-4B54-BDE3-D93D309DC3D9} - \Update Service for Torrent Search -> No File <==== ATTENTION
Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files\Torrent Search\bWAeOsw.exe <==== ATTENTION
Task: C:\Windows\Tasks\Update Service for Torrent Search2.job => C:\Program Files\Torrent Search\bWAeOsw.exe <==== ATTENTION
C:\Program Files\Torrent Search
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Floz** · 09.03.2016, 13:47

Готово

SQ · 09.03.2016, 17:13

Какие из следующих каталогов Вам знакомы?

Код:

C:\Users\вфаф\AppData\Roaming\Orion
C:\Users\вфаф\AppData\Local\Tempfolder
C:\Users\вфаф\AppData\LocalLow\Company
C:\Users\вфаф\AppData\Roaming\FilleOneu
C:\Program Files\Company

**Floz** · 09.03.2016, 19:01

Никакие

SQ · 09.03.2016, 22:51

Сообщение от Floz

Никакие

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Users\вфаф\AppData\Roaming\FilleOneu\Wuhgufha.exe','');
 QuarantineFile('C:\Users\вфаф\AppData\Roaming\FilleOneu\Nikemaxj.din','');
   BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Если уверены в том, что каталоги созданы не Вами, то для того, чтобы фикснуть выполните следующее:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
CloseProcesses:
C:\Users\вфаф\AppData\Roaming\Orion
C:\Users\вфаф\AppData\Local\Tempfolder
C:\Users\вфаф\AppData\LocalLow\Company
C:\Users\вфаф\AppData\Roaming\FilleOneu
C:\Program Files\Company
Reboot:
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

P.S. В случае, если это повлияет на работу какого-то ПО отпишите, для того чтобы откатили изменения.

**Floz** · 10.03.2016, 10:42

Карантин отправил, на работу никаких программ, вроде бы, не повлияло ничего.

SQ · 10.03.2016, 13:13

С расшифровкой не поможем.

**CyberHelper** · 10.03.2016, 13:23

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 82
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\company\gupdate\gupdate.exe - Trojan-Ransom.NSIS.Onion.jei

Вирус-шифровальщик. Помогите!) [Trojan-Ransom.NSIS.Onion.jei ] (заявка № 197272)

Опции темы