помогите пожалуйста, компьютер заразился вирусом шифровальщик и зашифровал практически все файлы, фото, видео и текстовые документы с расширением XTBL.
Printable View
помогите пожалуйста, компьютер заразился вирусом шифровальщик и зашифровал практически все файлы, фото, видео и текстовые документы с расширением XTBL.
Уважаемый(ая) [B]Алексей 111[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\syswow64\config\systemprofile\appdata\roaming\defaulttab\defaulttab\defaulttabbho.dll','');
QuarantineFile('c:\Users\All Users\dtdata\R001.exe','');
QuarantineFile('c:\Users\All Users\dtdata\R002.exe','');
QuarantineFile('c:\Users\All Users\dtdata\R003.exe','');
QuarantineFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe','');
QuarantineFile('C:\Users\Алексей\AppData\Local\SwvUpdater\Updater.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\EnterDigital\bin\utilEnterDigital.exe','');
QuarantineFile('C:\Program Files (x86)\EnterDigital\updateEnterDigital.exe','');
QuarantineFile('C:\Program Files (x86)\AppEnable\updateAppEnable.exe','');
DeleteService('Util EnterDigital');
DeleteService('Update EnterDigital');
DeleteService('Update AppEnable');
TerminateProcessByName('c:\users\cd86~1\appdata\local\temp\ftt8kdrkmtfr.exe');
TerminateProcessByName('c:\users\cd86~1\appdata\local\temp\aho9snrdnzcj.exe');
QuarantineFile('c:\users\cd86~1\appdata\local\temp\aho9snrdnzcj.exe','');
DeleteFile('c:\users\cd86~1\appdata\local\temp\aho9snrdnzcj.exe','32');
DeleteFile('c:\users\cd86~1\appdata\local\temp\ftt8kdrkmtfr.exe','32');
DeleteFile('C:\Program Files (x86)\AppEnable\updateAppEnable.exe','32');
DeleteFile('C:\Program Files (x86)\EnterDigital\updateEnterDigital.exe','32');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Users\Алексей\AppData\Local\SwvUpdater\Updater.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job','64');
DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job','64');
DeleteFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe','32');
DeleteFile('C:\Windows\syswow64\config\systemprofile\appdata\roaming\defaulttab\defaulttab\defaulttabbho.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[QUOTE=thyrex;1243909]Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\syswow64\config\systemprofile\appdata\roaming\defaulttab\defaulttab\defaulttabbho.dll','');
QuarantineFile('c:\Users\All Users\dtdata\R001.exe','');
QuarantineFile('c:\Users\All Users\dtdata\R002.exe','');
QuarantineFile('c:\Users\All Users\dtdata\R003.exe','');
QuarantineFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe','');
QuarantineFile('C:\Users\Алексей\AppData\Local\SwvUpdater\Updater.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\EnterDigital\bin\utilEnterDigital.exe','');
QuarantineFile('C:\Program Files (x86)\EnterDigital\updateEnterDigital.exe','');
QuarantineFile('C:\Program Files (x86)\AppEnable\updateAppEnable.exe','');
DeleteService('Util EnterDigital');
DeleteService('Update EnterDigital');
DeleteService('Update AppEnable');
TerminateProcessByName('c:\users\cd86~1\appdata\local\temp\ftt8kdrkmtfr.exe');
TerminateProcessByName('c:\users\cd86~1\appdata\local\temp\aho9snrdnzcj.exe');
QuarantineFile('c:\users\cd86~1\appdata\local\temp\aho9snrdnzcj.exe','');
DeleteFile('c:\users\cd86~1\appdata\local\temp\aho9snrdnzcj.exe','32');
DeleteFile('c:\users\cd86~1\appdata\local\temp\ftt8kdrkmtfr.exe','32');
DeleteFile('C:\Program Files (x86)\AppEnable\updateAppEnable.exe','32');
DeleteFile('C:\Program Files (x86)\EnterDigital\updateEnterDigital.exe','32');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Users\Алексей\AppData\Local\SwvUpdater\Updater.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job','64');
DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job','64');
DeleteFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe','32');
DeleteFile('C:\Windows\syswow64\config\systemprofile\appdata\roaming\defaulttab\defaulttab\defaulttabbho.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR=Red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B][COLOR=Blue]Сделайте новые логи по правилам[/COLOR][/B]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"][B]Farbar Recovery Scan Tool[/B][/URL] [IMG]http://i.imgur.com/NAAC5Ba.png[/IMG] и сохраните на Рабочем столе.
[B]Примечание[/B]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[LIST][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [B]Yes[/B] для соглашения с предупреждением.[*]Убедитесь, что в окне [B]Optional Scan[/B] отмечены [I]"List BCD"[/I] и [I]"Driver MD5"[/I].
[IMG]http://i.imgur.com/B92LqRQ.png[/IMG][*]Нажмите кнопку [B]Scan[/B].[*]После окончания сканирования будет создан отчет ([B]FRST.txt[/B]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([B]Addition.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении.[/LIST]
[/QUOTE]
подскажите пожалуйста как вам отправить карантин, я не совсем понимаю как это сделать, не могу найти эту ссылку "отправить карантин"
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
отчеты после сканирования[COLOR=#555555] [/COLOR][URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"][B]Farbar Recovery Scan Tool[/B][/URL]
[quote="Алексей 111;1244039"]не могу найти эту ссылку "отправить карантин"[/quote]Над первым сообщением в теме
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1&q={searchTerms}
HKU\S-1-5-21-1053147881-911295369-1856413658-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
HKU\S-1-5-21-1053147881-911295369-1856413658-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
HKU\S-1-5-21-1053147881-911295369-1856413658-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1
URLSearchHook: HKLM-x32 - MyAshampoo Toolbar - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Users\Алексей\AppData\LocalLow\MyAshampoo\prxtbMyA2.dll (ClientConnect Ltd.)
URLSearchHook: HKU\S-1-5-21-1053147881-911295369-1856413658-1000 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1&q={searchTerms}
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
SearchScopes: HKU\S-1-5-21-1053147881-911295369-1856413658-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1053147881-911295369-1856413658-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1053147881-911295369-1856413658-1000 -> {6BC8E139-58E9-4165-85ED-98B21A79EE16} URL = http://trovi.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552&CUI=UN37050005813039612&UM=4
SearchScopes: HKU\S-1-5-21-1053147881-911295369-1856413658-1000 -> {769710AF-10AA-4118-807D-D374CFBF53F8} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^RU&gct=sb&itbv=12.23.0.15&apn_uid=1B9D1C28-9078-463C-9FE2-DB869E9A7439&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^RU&apn_dbr=ie&doi=2015-02-03&trgb=IE&q={searchTerms}&psv=&pt=tb
SearchScopes: HKU\S-1-5-21-1053147881-911295369-1856413658-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1053147881-911295369-1856413658-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll No File
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKU\S-1-5-21-1053147881-911295369-1856413658-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-1053147881-911295369-1856413658-1000 -> No Name - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - No File
Toolbar: HKU\S-1-5-21-1053147881-911295369-1856413658-1000 -> No Name - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1
FF Extension: Webexp Enhanced - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha133\ff [2013-12-20]
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta928\ff
FF Extension: Video Player - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta928\ff [2014-01-10]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\adalmamknlbmfakldkganajlocnkkgff [2014-11-23]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-11-23]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgeakjmfknncppbmgkkfbglnodccdecp [2014-11-23]
CHR Extension: (Mail.Ru) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\cegdomhocaeoedbdpfolmgjkjaijfomo [2015-03-11]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2015-01-11]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\hbpohbeflieibmcmohdnhfkigfmkmfgd [2014-11-23]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\ihngdfjnomkoonicfblffinangfafepk [2014-11-23]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdnciihjakpbhinlgnmafklmngkccebp [2014-11-23]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\keinkhgnlckanellohdllejmhipfocmi [2014-11-23]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbhlpghmmkknfalanfimbfjlllianmdj [2014-11-23]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmkeljmlecjkakkekfebmhmahhhflonf [2015-01-11]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh [2014-11-23]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-01-11]
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [adalmamknlbmfakldkganajlocnkkgff] - C:\Users\Алексей\AppData\Local\Temp\adalmamknlbmfakldkganajlocnkkgff.crx [2013-11-27]
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgeakjmfknncppbmgkkfbglnodccdecp] - C:\Users\Алексей\AppData\Local\Temp\bgeakjmfknncppbmgkkfbglnodccdecp.crx [2013-11-27]
CHR HKLM-x32\...\Chrome\Extension: [cdiedecapahoggdkdahnhoaomcmkieli] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta928\ch\VideoPlayerV3beta928.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [gakfdgfihpgdneephegocjcinpemjcih] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha133\ch\WebexpEnhancedV1alpha133.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [hbpohbeflieibmcmohdnhfkigfmkmfgd] - C:\Users\Алексей\AppData\Local\Temp\hbpohbeflieibmcmohdnhfkigfmkmfgd.crx [2013-11-27]
CHR HKLM-x32\...\Chrome\Extension: [ihngdfjnomkoonicfblffinangfafepk] - C:\Users\Алексей\AppData\Local\Temp\ihngdfjnomkoonicfblffinangfafepk.crx [2013-11-27]
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdnciihjakpbhinlgnmafklmngkccebp] - C:\Users\Алексей\AppData\Local\Temp\jdnciihjakpbhinlgnmafklmngkccebp.crx [2013-11-27]
CHR HKLM-x32\...\Chrome\Extension: [keinkhgnlckanellohdllejmhipfocmi] - C:\Users\Алексей\AppData\Local\Temp\keinkhgnlckanellohdllejmhipfocmi.crx [2013-11-27]
CHR HKLM-x32\...\Chrome\Extension: [lbhlpghmmkknfalanfimbfjlllianmdj] - C:\Users\Алексей\AppData\Local\Temp\lbhlpghmmkknfalanfimbfjlllianmdj.crx [2013-11-27]
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2014-07-14]
CHR HKLM-x32\...\Chrome\Extension: [lmkeljmlecjkakkekfebmhmahhhflonf] - C:\Users\Алексей\AppData\Local\Temp\lmkeljmlecjkakkekfebmhmahhhflonf.crx [2013-11-27]
CHR HKLM-x32\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\altergeo.crx [2013-01-28]
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Алексей\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [2013-11-14]
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe http://www.mystartsearch.com/?type=sc&ts=1426082678&from=cvs&uid=ST9500325AS_S2W4YEH1
2015-03-11 17:04 - 2015-03-11 17:04 - 00000000 ____D () C:\Users\Алексей\AppData\Roaming\mystartsearch
2015-03-09 20:02 - 2015-03-09 20:11 - 00000000 ____D () C:\Users\Алексей\AppData\Roaming\Homepager
2015-03-09 19:57 - 2015-03-10 15:28 - 00000000 ___HD () C:\Users\Алексей\AppData\Roaming\16BE4C65
2015-03-11 07:14 - 2014-01-27 10:44 - 00000000 ____D () C:\Users\Алексей\AppData\Local\SaveSense
2015-03-11 07:00 - 2013-11-10 22:39 - 00000000 ____D () C:\Users\Алексей\AppData\Local\SwvUpdater
2015-03-10 14:42 - 2013-11-14 19:49 - 00000000 ____D () C:\Program Files\Zaxar
2015-03-09 20:13 - 2014-11-04 09:30 - 00000000 ____D () C:\Program Files (x86)\baidu
2015-03-09 20:11 - 2014-01-26 18:41 - 00000000 ____D () C:\Users\Алексей\AppData\Local\Amigo
C:\Users\Алексей\AppData\Local\Temp\0.exe
C:\Users\Алексей\AppData\Local\Temp\1KwwS3avK4YS.exe
C:\Users\Алексей\AppData\Local\Temp\1yXvLJ3tVpnR.exe
C:\Users\Алексей\AppData\Local\Temp\273EF6CF-C945-424E-A897-707A355041E0.exe
C:\Users\Алексей\AppData\Local\Temp\5MVeYP7OIzh2.exe
C:\Users\Алексей\AppData\Local\Temp\6zD77dTnlu61.exe
C:\Users\Алексей\AppData\Local\Temp\7582.exe
C:\Users\Алексей\AppData\Local\Temp\AAoxCYh2rNuq.exe
C:\Users\Алексей\AppData\Local\Temp\APNSetup.exe
C:\Users\Алексей\AppData\Local\Temp\BackupSetup.exe
C:\Users\Алексей\AppData\Local\Temp\C0FEF0F8-BD90-46DE-B192-3C0FF5B04098.exe
C:\Users\Алексей\AppData\Local\Temp\conduitinstaller.exe
C:\Users\Алексей\AppData\Local\Temp\dtkkrgVyTB7l.exe
C:\Users\Алексей\AppData\Local\Temp\DtYgboPAvg8A.exe
C:\Users\Алексей\AppData\Local\Temp\dxBzWQhA2Wj1.exe
C:\Users\Алексей\AppData\Local\Temp\ekMSFcIr3B6K.exe
C:\Users\Алексей\AppData\Local\Temp\eLElxY9fpv2W.exe
C:\Users\Алексей\AppData\Local\Temp\ezFXxSc4MsfE.exe
C:\Users\Алексей\AppData\Local\Temp\FVWwfEDKclAJ.exe
C:\Users\Алексей\AppData\Local\Temp\GLFBF8C.tmp.ConduitEngineSetup.exe
C:\Users\Алексей\AppData\Local\Temp\gPJu49fXV0z4.exe
C:\Users\Алексей\AppData\Local\Temp\half-open-limit-check.exe
C:\Users\Алексей\AppData\Local\Temp\HVHDg3qh887T.exe
C:\Users\Алексей\AppData\Local\Temp\IceTorrentSetup.exe
C:\Users\Алексей\AppData\Local\Temp\ICReinstall_VideoConverterSetup.exe
C:\Users\Алексей\AppData\Local\Temp\ICReinstall_ZipOpenerSetup.exe
C:\Users\Алексей\AppData\Local\Temp\iobitdownloader_installspro.exe
C:\Users\Алексей\AppData\Local\Temp\iv_uninstall.exe
C:\Users\Алексей\AppData\Local\Temp\javaSetup.exe
C:\Users\Алексей\AppData\Local\Temp\jrb0NwwWC08E.exe
C:\Users\Алексей\AppData\Local\Temp\KNl4uSZwANbT.exe
C:\Users\Алексей\AppData\Local\Temp\mediaget-uninstaller.exe
C:\Users\Алексей\AppData\Local\Temp\Myashampoo.exe
C:\Users\Алексей\AppData\Local\Temp\nslC283.exe
C:\Users\Алексей\AppData\Local\Temp\nsq82A3.exe
C:\Users\Алексей\AppData\Local\Temp\nss717C.exe
C:\Users\Алексей\AppData\Local\Temp\nsv794F.exe
C:\Users\Алексей\AppData\Local\Temp\nsvC9C4.exe
C:\Users\Алексей\AppData\Local\Temp\ose00000.exe
C:\Users\Алексей\AppData\Local\Temp\rI4bbaAm5J9E.exe
C:\Users\Алексей\AppData\Local\Temp\runprog.exe
C:\Users\Алексей\AppData\Local\Temp\S6pjU6qthkPu.exe
C:\Users\Алексей\AppData\Local\Temp\sender.exe
C:\Users\Алексей\AppData\Local\Temp\Setup-barie.exe
C:\Users\Алексей\AppData\Local\Temp\Setup-praetorian.exe
C:\Users\Алексей\AppData\Local\Temp\twuDuqi8NXtt.exe
C:\Users\Алексей\AppData\Local\Temp\uninstall.exe
C:\Users\Алексей\AppData\Local\Temp\utt114.tmp.exe
C:\Users\Алексей\AppData\Local\Temp\utt597F.tmp.exe
C:\Users\Алексей\AppData\Local\Temp\utt6496.tmp.exe
C:\Users\Алексей\AppData\Local\Temp\utt6A72.tmp.exe
C:\Users\Алексей\AppData\Local\Temp\utt737E.tmp.exe
C:\Users\Алексей\AppData\Local\Temp\utt74BD.tmp.exe
C:\Users\Алексей\AppData\Local\Temp\utt9415.tmp.exe
C:\Users\Алексей\AppData\Local\Temp\utt9EA2.tmp.exe
C:\Users\Алексей\AppData\Local\Temp\uttBB62.tmp.exe
C:\Users\Алексей\AppData\Local\Temp\uttD7C8.tmp.exe
C:\Users\Алексей\AppData\Local\Temp\vvucfJt1S59C.exe
C:\Users\Алексей\AppData\Local\Temp\yupdate-exec-barie.exe
C:\Users\Алексей\AppData\Local\Temp\yupdate-exec-praetorian.exe
C:\Users\Алексей\AppData\Local\Temp\yupdate-exec-yabrowser.exe
C:\Users\Алексей\AppData\Local\Temp\_is1081.exe
C:\Users\Алексей\AppData\Local\Temp\_is471B.exe
C:\Users\Алексей\AppData\Local\Temp\_isA3AB.exe
C:\Users\Алексей\AppData\Local\Temp\_isF525.exe
Task: {AD3F9518-10E1-4B52-88E3-57032B17B2B4} - System32\Tasks\DefaultCheck => c:\Users\All Users\dtdata\R002.exe [2014-11-06] () <==== ATTENTION
Task: {C302DACB-E62C-4444-B300-6F6E1DA78F7C} - System32\Tasks\DefaultReg => c:\Users\All Users\dtdata\R001.exe [2014-11-06] () <==== ATTENTION
Task: {C66A5440-477A-4F7B-8A74-4F60B3A0298B} - System32\Tasks\Default2Check => c:\Users\All Users\dtdata\R003.exe [2014-11-19] () <==== ATTENTION
Reboot:
[/code][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
может это важно: злоумышленники которые требуют выслать деньги,прислали один мой файл расшифрованный в качестве подтверждения.
Ну так у них есть дешифратор, конечно :)
Мы с расшифровкой не поможем.
Как вариант, [url]http://virusinfo.info/showthread.php?t=156188[/url]
а что делать?
Я предложил вариант. Если не подходит, прямая дорога к злодеям
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\syswow64\config\systemprofile\appdata\roaming\defaulttab\defaulttab\defaulttabbho.dll - [B]not-a-virus:WebToolbar.Win32.Agent.ayw[/B][/LIST][/LIST]