Зашифровка файлов "[email protected]"

Printable View

09.04.2015, 06:54
dik2000

Вложений: 3

Зашифровка файлов "[email protected]"

Помогите!!! прочитал инструкцию тут [URL]http://virusinfo.info/content.php?r=136-pravila[/URL] не знаю точно правильно ли всё сделал ибо я не матёрый компьютерный гений =) но вот отчёты которые получились
09.04.2015, 06:55
Info_bot

Уважаемый(ая) [B]dik2000[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.04.2015, 19:57
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Василий\appdata\local\smartweb\smartwebapp.exe','');
QuarantineFile('C:\Program Files (x86)\Optimizer Pro 3.46\OptProLauncher.exe','');
QuarantineFile('C:\Program Files (x86)\Torrent Search\Sv9l6UOpyR.exe','');
QuarantineFile('C:\Program Files (x86)\sun king\sun_king_updating_service.exe','');
QuarantineFile('C:\Program Files (x86)\SuperPlusRadio v2.1\d57e1b48-c820-466c-820e-e45b03153baa-5.exe','');
QuarantineFile('C:\Program Files (x86)\SuperPlusRadio v2.1\d57e1b48-c820-466c-820e-e45b03153baa-10.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{44627DAE-18B6-4ABC-8B22-13979EDFC56D}');
QuarantineFile('C:\Program Files (x86)\Torrent Search\Toolbar32.dll','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\Василий\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Василий\AppData\Local\gmsd_ru_120\upgmsd_ru_120.exe','');
QuarantineFile('C:\Users\Public\Videos\Adobe\upd.exe','');
QuarantineFile('C:\Users\Administrator\AppData\Local\Google\chrome.bat','');
QuarantineFile('C:\Program Files (x86)\upgrade\flashCodec.exe','');
DeleteService('QMUdisk');
SetServiceStart('qrnfd_1_10_0_9', 4);
DeleteService('qrnfd_1_10_0_9');
QuarantineFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','');
QuarantineFile('c:\Program Files (x86)\Optimizer Pro 3.46\OptProMon.dll','');
QuarantineFile('C:\Program Files (x86)\Application Installer\CoreWebServ.dll','');
TerminateProcessByName('c:\program files (x86)\application installer\servercore.exe');
QuarantineFile('c:\program files (x86)\application installer\servercore.exe','');
TerminateProcessByName('c:\users\Василий\appdata\local\gmsd_ru_120\upgmsd_ru_120.exe');
QuarantineFile('c:\users\Василий\appdata\local\gmsd_ru_120\upgmsd_ru_120.exe','');
DeleteFile('c:\users\Василий\appdata\local\gmsd_ru_120\upgmsd_ru_120.exe','32');
DeleteFile('c:\program files (x86)\application installer\servercore.exe','32');
DeleteFile('C:\Program Files (x86)\Application Installer\CoreWebServ.dll','32');
DeleteFile('c:\Program Files (x86)\Optimizer Pro 3.46\OptProMon.dll','32');
DeleteFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.5.15816.217\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\upgrade\flashCodec.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
DeleteFile('C:\Users\Administrator\AppData\Local\Google\chrome.bat','32');
DeleteFile('C:\Users\Public\Videos\Adobe\upd.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe');
DeleteFile('C:\Users\Василий\AppData\Local\gmsd_ru_120\upgmsd_ru_120.exe','32');
DeleteFile('C:\Users\Василий\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_120.exe');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files (x86)\Torrent Search\Toolbar32.dll','32');
DeleteFile('C:\Program Files (x86)\SuperPlusRadio v2.1\d57e1b48-c820-466c-820e-e45b03153baa-10.exe','32');
DeleteFile('C:\Windows\Tasks\d57e1b48-c820-466c-820e-e45b03153baa-10_user.job','64');
DeleteFile('C:\Windows\Tasks\d57e1b48-c820-466c-820e-e45b03153baa-5_user.job','64');
DeleteFile('C:\Program Files (x86)\SuperPlusRadio v2.1\d57e1b48-c820-466c-820e-e45b03153baa-5.exe','32');
DeleteFile('C:\Windows\Tasks\hrrdLIkQVaNseynGcrdRuiCNIw.job','64');
DeleteFile('C:\Windows\Tasks\sun_king_updating_service.job','64');
DeleteFile('C:\Program Files (x86)\sun king\sun_king_updating_service.exe','32');
DeleteFile('C:\Program Files (x86)\Torrent Search\Sv9l6UOpyR.exe','32');
DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','64');
DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','64');
DeleteFile('C:\Program Files (x86)\Optimizer Pro 3.46\OptProLauncher.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Optimizer Pro Schedule','64');
DeleteFile('C:\Windows\system32\Tasks\sun_king_updating_service','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search2','64');
DeleteFile('C:\Users\Василий\appdata\local\smartweb\smartwebapp.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] над первым сообщением темы.

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">?type=hppppppppp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">?type=hppppppppp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">web/?type=dspp&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">web/?type=dspp&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">?type=hppppppppp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">web/?type=dspp&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">web/?type=dspp&q={searchTerms}
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=95b9af6c46f1489dd0bd54dbc04faf3a&text=[/CODE]

[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]

Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/url]
10.04.2015, 04:01
dik2000

Вот вроде выложил файла зашифрованые

[url]https://yadi.sk/d/YJyNqBQFftWre[/url]
[url]https://yadi.sk/d/aQyz7GZGftXgL[/url]
[url]https://yadi.sk/d/dnm3z9oxftXgU[/url]
[url]https://yadi.sk/d/yjz7ophlftXgW[/url]

Я что то делаю но до конца не уверен что делаю это правильно так как всё делаю в первый раз :>

Всё zip отправил, подскажите "Сделайте лог Check Browsers' LNK" как это сделать ? может видео есть
10.04.2015, 21:35
thyrex

Запустите утилиту и пришлите лог.

Где новые логи?
11.04.2015, 05:41
dik2000

Вложений: 3

Вот
11.04.2015, 11:54
thyrex

Лог Check Browsers' LNK где?
12.04.2015, 02:29
dik2000

Вложений: 1

Check Browsers' LNK что это ? тоже программа :O

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=thyrex;1258971]Лог Check Browsers' LNK где?[/QUOTE

вот всё метнулся :)
12.04.2015, 14:58
thyrex

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
[list][*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
12.04.2015, 16:55
dik2000

Вложений: 1

Вот готова
13.04.2015, 17:51
thyrex

Логи RSIT где?
13.04.2015, 19:44
dik2000

Вложений: 2

[QUOTE=thyrex;1259597]Логи RSIT где?[/QUOTE]

вот
13.04.2015, 20:14
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
13.04.2015, 21:35
dik2000

Вложений: 2

[QUOTE=thyrex;1259709]Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list][/QUOTE]

вот готова
14.04.2015, 19:57
thyrex

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
Startup: C:\Users\Василий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\爱奇艺PPS影音.lnk
ShortcutTarget: 爱奇艺PPS影音.lnk -> C:\Program Files (x86)\IQIYI Video\LStyle\QyClient.exe (No File)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShellIconOverlayIdentifiers-x32: [SharingPrivate] -> {08244EE6-92F0-47f2-9FC9-929BAA2E7235} => %SystemRoot%\system32\ntshrui.dll No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">?type=hppppppppp
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">web/?type=dspp&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">?type=hppppppppp
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">web/?type=dspp&q={searchTerms}
HKU\S-1-5-21-413367972-2539246898-790172434-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
HKU\S-1-5-21-413367972-2539246898-790172434-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yandex.ru/?clid=2101081
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">web/?type=dspp&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">web/?type=dspp&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">web/?type=dspp&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">web/?type=dspp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-413367972-2539246898-790172434-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=brd&utm_campaign=install_ie&utm_content=ds&from=brd&uid=WDCXWD5000BPVT-22HXZT1_WD-WXH1A31N2462N2462&ts=1424406295&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-413367972-2539246898-790172434-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=brd&utm_campaign=install_ie&utm_content=ds&from=brd&uid=WDCXWD5000BPVT-22HXZT1_WD-WXH1A31N2462N2462&ts=1424406295&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-413367972-2539246898-790172434-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=brd&utm_campaign=install_ie&utm_content=ds&from=brd&uid=WDCXWD5000BPVT-22HXZT1_WD-WXH1A31N2462N2462&ts=1424406295&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-413367972-2539246898-790172434-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=brd&utm_campaign=install_ie&utm_content=ds&from=brd&uid=WDCXWD5000BPVT-22HXZT1_WD-WXH1A31N2462N2462&ts=1424406295&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-413367972-2539246898-790172434-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=brd&utm_campaign=install_ie&utm_content=ds&from=brd&uid=WDCXWD5000BPVT-22HXZT1_WD-WXH1A31N2462N2462&ts=1424406295&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-413367972-2539246898-790172434-1000 -> {F4137D40-259A-4FB3-B780-F8C39B303C41} URL = http://www.<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">web/?type=dspp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-413367972-2539246898-790172434-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=brd&utm_campaign=install_ie&utm_content=ds&from=brd&uid=WDCXWD5000BPVT-22HXZT1_WD-WXH1A31N2462N2462&ts=1424406295&type=default&q={searchTerms}
BHO: saferwueb -> {0723afe4-2593-4e92-8044-aa415abe94ce} -> C:\Program Files (x86)\saferwueb\ArJHJpi4qO08zv.x64.dll [2015-04-03] ()
BHO: dealsster -> {21069d6f-dcf0-4543-8f8d-23ac3d553b72} -> C:\Program Files (x86)\dealsster\7sfCylt5y94Zue.x64.dll [2015-03-30] ()
BHO: PRInceCouupon -> {91c2b0fe-2018-4aa0-a164-d6d2797f69ab} -> C:\Program Files (x86)\PRInceCouupon\WTmbPKxZHtwuYN.x64.dll [2015-04-03] ()
BHO: saveRanEtt -> {adc46446-6125-4a7b-b7a4-0973f4438d54} -> C:\Program Files (x86)\saveRanEtt\bU1N1L64J9z5MG.x64.dll [2015-03-30] ()
BHO: KainGCOupon -> {e6d4350b-f127-4be8-92af-956017590087} -> C:\Program Files (x86)\KainGCOupon\xVFSbRMiivFmeD.x64.dll [2015-04-03] ()
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1424406255&from=brd&uid=WDCXWD5000BPVT-22HXZT1_WD-WXH1A31N2462N2462
FF Plugin: @iqiyi.com/npclient -> C:\Program Files (x86)\IQIYI Video\LStyle\npclient.dll No File
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File
FF Plugin-x32: @iqiyi.com/npclient -> C:\Program Files (x86)\IQIYI Video\LStyle\npclient.dll No File
FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\Program Files (x86)\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin HKU\S-1-5-21-413367972-2539246898-790172434-1000: @iqiyi.com/npWebPlayer -> C:\Program Files (x86)\IQIYI Video\LStyle\npWebPlayer.dll No File
CHR Extension: (sun king) - C:\Users\Василий\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndabmaflbdfldmdlccmpccenpkgklhln [2015-04-03]
OPR Extension: (Универсальный перевод для Chrome) - C:\Users\Василий\AppData\Roaming\Opera Software\Opera Stable\Extensions\chklaanhfefbnpoihckbnefhakgolnmc [2015-02-10]
OPR Extension: (Универсальный перевод для Chrome) - C:\Users\Василий\AppData\Roaming\Opera Software\Opera Stable\Extensions\faminaibgiklngmfpfbhmokfmnglamcm [2015-03-02]
OPR Extension: (SuperPlusRadio v2.1) - C:\Users\Василий\AppData\Roaming\Opera Software\Opera Stable\Extensions\icpgdmbkannfhajbcinkekegjlcbcibl [2015-02-10]
OPR Extension: (Поиск по торрентам) - C:\Users\Василий\AppData\Roaming\Opera Software\Opera Stable\Extensions\iphpmnjjkbneokidkdkcdfhlhlimhnfj [2015-02-10]
OPR Extension: (sun king) - C:\Users\Василий\AppData\Roaming\Opera Software\Opera Stable\Extensions\ndabmaflbdfldmdlccmpccenpkgklhln [2015-04-03]
S2 e60fba94; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.46\OptProMon.dll",ENT
R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [7410024 2015-01-14] (Reimage®)
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-10] (globalUpdate) [File not signed] <==== ATTENTION
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-10] (globalUpdate) [File not signed] <==== ATTENTION
2015-04-10 08:21 - 2015-04-10 08:21 - 00003432 _____ () C:\Windows\System32\Tasks\Reimage Reminder
2015-04-10 08:20 - 2015-04-10 08:20 - 00004268 _____ () C:\Windows\System32\Tasks\ReimageUpdater
2015-04-10 08:19 - 2015-04-10 08:21 - 00000000 ____D () C:\rei
2015-04-10 08:19 - 2015-04-10 08:20 - 00000000 ____D () C:\Users\Все пользователи\Reimage Protector
2015-04-10 08:19 - 2015-04-10 08:20 - 00000000 ____D () C:\ProgramData\Reimage Protector
2015-04-10 08:19 - 2015-04-10 08:20 - 00000000 ____D () C:\Program Files\Reimage
2015-04-10 08:19 - 2015-04-10 08:19 - 00001901 _____ () C:\Users\Public\Desktop\PC Scan & Repair by Reimage.lnk
2015-04-10 08:19 - 2015-04-10 08:19 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
2015-04-10 08:18 - 2015-04-10 08:21 - 00000156 _____ () C:\Windows\Reimage.ini
2015-04-10 07:46 - 2015-04-10 07:47 - 00768512 _____ (Reimage®) C:\Users\Василий\Downloads\ReimageRepair.exe
2015-04-08 21:13 - 2015-04-09 02:04 - 00000000 ____D () C:\Program Files (x86)\ZIP-АРХИВ МАКСИМАЛЬНОЕ СЖАТИЕ
2015-04-08 21:13 - 2015-04-08 21:25 - 00000000 ____D () C:\Program Files (x86)\upgrade
2015-04-03 12:00 - 2015-04-10 00:32 - 00000000 ____D () C:\Program Files (x86)\PRInceCouupon
2015-04-03 12:00 - 2015-04-03 12:01 - 00000000 ____D () C:\Program Files (x86)\ShoppErMaster
2015-04-03 12:00 - 2015-04-03 12:01 - 00000000 ____D () C:\Program Files (x86)\Bubble Elements
2015-04-03 11:59 - 2015-04-10 00:32 - 00000000 ____D () C:\Program Files (x86)\KainGCOupon
2015-04-03 07:59 - 2015-04-10 00:32 - 00000000 ____D () C:\Program Files (x86)\saferwueb
2015-04-03 01:57 - 2015-04-03 01:59 - 00000000 ____D () C:\Program Files (x86)\sun king
2015-03-30 07:38 - 2015-03-30 07:38 - 00000000 ____D () C:\Program Files (x86)\deal4reaaL
2015-03-30 07:37 - 2015-04-10 00:32 - 00000000 ____D () C:\Program Files (x86)\saveRanEtt
2015-03-30 07:37 - 2015-04-10 00:32 - 00000000 ____D () C:\Program Files (x86)\dealsster
2015-03-30 07:37 - 2015-03-30 07:38 - 00000000 ____D () C:\Program Files (x86)\Facebook Sounds
2015-03-30 07:37 - 2015-03-30 07:37 - 00000000 ____D () C:\Users\Все пользователи\SaveItCoupons
2015-03-30 07:37 - 2015-03-30 07:37 - 00000000 ____D () C:\ProgramData\SaveItCoupons
2015-04-13 22:45 - 2015-02-10 18:51 - 00000954 _____ () C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job
2015-04-13 18:10 - 2015-02-10 18:51 - 00000950 _____ () C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job
2015-04-12 06:25 - 2015-02-22 13:44 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2
2015-04-10 06:28 - 2015-02-22 13:44 - 00000000 ____D () C:\Program Files (x86)\Optimizer Pro 3.46
2015-04-10 06:26 - 2015-02-10 23:43 - 00000000 ____D () C:\Program Files (x86)\Torrent Search
2015-04-10 06:26 - 2015-02-10 17:19 - 00000000 ____D () C:\Users\Василий\AppData\Local\SmartWeb
2015-04-10 06:26 - 2015-02-10 17:18 - 00000000 ____D () C:\Users\Василий\AppData\Local\gmsd_ru_120
2015-04-10 06:26 - 2015-02-10 17:11 - 00000000 ____D () C:\Users\Василий\AppData\Roaming\Browsers
2015-04-10 00:31 - 2015-02-10 17:18 - 00000000 ____D () C:\Program Files (x86)\gmsd_ru_120
2015-04-08 21:18 - 2015-02-20 11:24 - 00000000 ____D () C:\Users\Василий\AppData\Roaming\istartsurf
2015-04-03 12:01 - 2015-03-10 22:52 - 00000000 ____D () C:\Users\Все пользователи\4031623025522488525
2015-04-03 12:01 - 2015-03-10 22:52 - 00000000 ____D () C:\ProgramData\4031623025522488525
2015-03-30 07:37 - 2015-03-14 17:51 - 00000000 ____D () C:\Program Files (x86)\SaveerPuRo
2015-03-30 07:37 - 2015-03-14 17:51 - 00000000 ____D () C:\Program Files (x86)\coupoinpeak
2015-03-29 16:43 - 2015-03-14 18:31 - 00000000 ____D () C:\Program Files (x86)\Online SpongeBob Games
2015-03-29 16:43 - 2015-03-14 18:11 - 00000000 ____D () C:\Program Files (x86)\AppttOU
2015-03-28 19:01 - 2015-02-11 18:06 - 00000000 ____D () C:\Users\Василий\AppData\Roaming\Torrent Search
2015-03-18 13:45 - 2015-02-10 23:43 - 00000626 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-03-18 13:45 - 2015-02-10 23:43 - 00000626 __RSH () C:\ProgramData\ntuser.pol
2015-03-18 11:54 - 2009-07-14 10:20 - 00000000 ____D () C:\Windows\system32\GroupPolicy
C:\Users\Василий\AppData\Local\Temp\ReimagePackage.exe
C:\Users\Василий\AppData\Local\Temp\ReiSysUpdate.exe
Task: {37F9CD9D-F2DF-4A8D-B810-213A5A2462D8} - \Optimizer Pro Schedule No Task File <==== ATTENTION
Task: {A0AFB789-E898-4D51-B6C4-352A815DBB7B} - \GoogleUpdateTaskUserS-1-5-21-413367972-2539246898-790172434-500UA No Task File <==== ATTENTION
Task: {A43127F2-D4E4-4F02-8500-FFF33212143F} - \GoogleUpdateTaskUserS-1-5-21-413367972-2539246898-790172434-500Core No Task File <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
14.04.2015, 21:13
dik2000

Вложений: 1

Я не ставил галочки List BCD и DriverMD5 так как по умолчанию они не стоят ( компьютер перезагрузился !)
16.04.2015, 20:34
dik2000

Есть кто живой про меня не забыли ????????:(:(:(
17.04.2015, 01:12
sergh1970

Если хотите расшифровать свои файлы, залейте архив с зашифрованными файлами
на любой файлобменник или облако и скиньте ссылку мне в личку.
Файлов надо 1000 - 2000.
17.04.2015, 01:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]