Вирус зашифровал файлы

Printable View

11.06.2015, 18:00
Андрей181

Вложений: 2

Вирус зашифровал файлы

Добрый день,
вирус зашифровал файлы (сообщение на рабочем столе) с требованием контрибуции, прошу помочь, через неделю защита диплома, комп один, горю !!!:O:furious3:
вложенные файлы - логи
началось с постоянно всплывающих окон рекламы, потом хром начал сам по себе открываться, предлагать какие-то загрузки... долго не обращал внимание а теперь еще и это... а комп нужен позарез...
Заранее спасибо.
11.06.2015, 18:01
Info_bot

Уважаемый(ая) [B]Андрей181[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
11.06.2015, 22:25
mike 1

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]Check Browsers LNK.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы в папке [b]Log[/b] будет сохранен отчет [b]Check_Browsers_LNK.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
12.06.2015, 06:55
Андрей181

Вложений: 2

Ок, см вложение.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

ок, см вложение.
12.06.2015, 08:08
mike 1

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
12.06.2015, 17:55
Андрей181

Вложений: 2

ок, см вложения.
12.06.2015, 18:39
mike 1

Лог AdwCleaner не тот прикрепили (см. инструкцию по AdwCleaner).
13.06.2015, 15:07
Андрей181

Вложений: 1

ок, вроде так (посмотрел ничем не пользуюсь).
13.06.2015, 15:16
mike 1

Нет не так. Лог прикрепили не тот.
13.06.2015, 18:42
Андрей181

Прошу разъяснить что значит "Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё)."???
Правильно ли я понял, что необходимо зайти в лог AdwCleaner созданный ранее и приложенный в одном из предыдущих сообщений и удалить все названия папок которыми я не пользуюсь, после чего лог сохранить и приложить в новом письме?
Прошу разъяснить...
13.06.2015, 18:55
mike 1

[QUOTE]Правильно ли я понял, что необходимо зайти в лог AdwCleaner созданный ранее и приложенный в одном из предыдущих сообщений и удалить все названия папок которыми я не пользуюсь, после чего лог сохранить и приложить в новом письме?[/QUOTE]
Нет. Нужно запустить AdwCleaner еще раз нажать кнопку Scan/Сканировать, а по окончанию проверки нажать на кнопку Clean/Очистка.

[url]http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864[/url]
14.06.2015, 04:20
Андрей181

Вложений: 1

Спасибо за разъяснение, см вложение.
14.06.2015, 11:48
mike 1

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
14.06.2015, 19:44
Андрей181

Вложений: 1

ок, см вложение

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

прикрепить второй отчет, не дает система, размер последнего отчета превышает допустимый объем... не могу понять как почистить папку в менеджере вложений.
ссылка на второй отчет http://www.fayloobmennik.net/5001808
14.06.2015, 19:56
mike 1

[QUOTE]AV: Panda Global Protection 2015 (Enabled - Up to date) {5FD6C936-849B-5CE2-14BA-709E1D6FD1DA}
AV: Kaspersky Anti-Virus (Disabled - Up to date) {179979E8-273D-D14E-0543-2861940E4886}
[/QUOTE]
Оставьте что нибудь одно.

[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Windesk Winsearch] => C:\Program Files (x86)\WindeskWinsearch\Windesk Winsearch.exe
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO: No Name -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> No File
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-458898537-3860815223-3693109469-1002 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - No File
FF Homepage: hxxp://searchsimple-a.akamaihd.net/?affID=cp-9050-5558
FF Keyword.URL: user_pref("keyword.URL","hxxp://searchsimple-a.akamaihd.net/?q=");
FF NewTab: user_pref("browser.newtab.url","hxxp://searchsimple-a.akamaihd.net/?m=tab&affID=cp-9050-5558");
FF Extension: Torrent Search - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{05EB6920-D8AD-4350-BEF1-4F7107F70431} [2014-12-11]
OPR Extension: (Shop and Save Up) - C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\ablgnpngfaaficpckehadaljnjgjkhbi [2015-05-31]
OPR Extension: (CinemaPlus-4.5vV28.05) - C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-06-02]
OPR Extension: (APIHelper) - C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-01-20]
S2 d3dadapter; C:\Windows\System32\svchost.exe [38792 2014-10-29] (Microsoft Corporation)
S2 d3dadapter; C:\Windows\SysWOW64\svchost.exe [33088 2014-10-29] (Microsoft Corporation)
S2 kbdmai; C:\Windows\System32\svchost.exe [38792 2014-10-29] (Microsoft Corporation)
S2 kbdmai; C:\Windows\SysWOW64\svchost.exe [33088 2014-10-29] (Microsoft Corporation)
NETSVCx32: KBDMAI -> No ServiceDLL Path.
NETSVCx32: d3dadapter -> No ServiceDLL Path.
NETSVCx32: ir16_32 -> No ServiceDLL Path.
NETSVCx32: wlanmgr -> No ServiceDLL Path.
2015-06-11 21:21 - 2015-06-11 21:21 - 00613255 _____ (CMI Limited) C:\Users\Андрей\AppData\Local\nsr55D5.tmp
2015-06-11 21:19 - 2015-06-12 01:34 - 00000000 ____D C:\Users\Андрей\AppData\Local\gmsd_ru_290
2015-06-11 21:19 - 2015-06-12 01:34 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_290
2015-06-11 20:25 - 2015-06-11 20:25 - 02884194 _____ C:\Users\Андрей\AppData\Roaming\1E6B3D281E6B3D28.bmp
2015-06-04 23:50 - 2015-06-11 20:30 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-04 23:50 - 2015-06-11 20:30 - 00000000 __SHD C:\ProgramData\Windows
2015-06-04 21:35 - 2015-06-04 21:35 - 00613255 _____ (CMI Limited) C:\Users\Андрей\AppData\Local\nsrD5C3.tmp
2015-06-04 21:30 - 2015-06-12 01:32 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_268
2015-06-04 21:30 - 2015-06-08 23:37 - 00000000 ____D C:\Users\Андрей\AppData\Local\skinapp
2015-06-04 21:30 - 2015-06-04 21:31 - 00000000 ____D C:\Users\Андрей\AppData\Local\gmsd_ru_268
2015-06-04 21:30 - 2015-06-04 21:30 - 00000000 ____D C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\skinapp
2015-06-02 01:50 - 2015-06-02 01:50 - 00613255 _____ (CMI Limited) C:\Users\Андрей\AppData\Local\nss499.tmp
2015-06-02 01:49 - 2015-06-02 01:49 - 00000000 ____D C:\Program Files (x86)\4d2a0811-d431-446d-863d-4627d110af02
2015-06-02 01:48 - 2015-06-12 01:31 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_264
2015-06-02 01:48 - 2015-06-02 01:48 - 00000000 ____D C:\Users\Андрей\AppData\Local\gmsd_ru_264
2015-04-21 00:05 - 2015-04-21 00:05 - 01579520 _____ () C:\Users\Андрей\AppData\Roaming\bc3uD8zlQ7h5mhFhmaf.exe
2015-04-21 00:05 - 2015-04-21 00:05 - 01579520 _____ () C:\Users\Андрей\AppData\Roaming\4CmUMaVpoDG.exe
2015-04-19 22:20 - 2015-04-19 22:20 - 00005872 _____ C:\Users\Андрей\AppData\Roaming\bc3uD8zlQ7h5mhFhmaf
2015-04-19 22:20 - 2015-04-19 22:20 - 00005872 _____ C:\Users\Андрей\AppData\Roaming\4CmUMaVpoDG
2015-06-12 01:36 - 2015-02-18 20:14 - 00000000 ____D C:\Program Files (x86)\HQ Cinema Video 1.9cV18.02
2015-06-02 01:21 - 2014-11-22 09:38 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol
2015-06-02 01:21 - 2014-11-22 09:38 - 00000258 __RSH C:\ProgramData\ntuser.pol
2014-12-05 16:53 - 2014-12-05 16:53 - 0000109 ____H () C:\Program Files (x86)\AsusVibeLauncher.bat
2014-12-05 16:53 - 2013-07-10 09:03 - 1957040 ____H () C:\Program Files (x86)\АsusVibеLаunсhеr.bаt.exe
2015-06-11 20:25 - 2015-06-11 20:25 - 2884194 _____ () C:\Users\Андрей\AppData\Roaming\1E6B3D281E6B3D28.bmp
2015-04-19 22:20 - 2015-04-19 22:20 - 0005872 _____ () C:\Users\Андрей\AppData\Roaming\4CmUMaVpoDG
2015-04-21 00:05 - 2015-04-21 00:05 - 1579520 _____ () C:\Users\Андрей\AppData\Roaming\4CmUMaVpoDG.exe
2015-04-19 22:20 - 2015-04-19 22:20 - 0005872 _____ () C:\Users\Андрей\AppData\Roaming\bc3uD8zlQ7h5mhFhmaf
2015-04-21 00:05 - 2015-04-21 00:05 - 1579520 _____ () C:\Users\Андрей\AppData\Roaming\bc3uD8zlQ7h5mhFhmaf.exe
2015-05-21 16:46 - 2015-05-21 16:46 - 0000000 ____H () C:\Users\Андрей\AppData\Local\BIT6A63.tmp
2014-12-05 16:53 - 2014-12-05 16:53 - 0000152 ____H () C:\Users\Андрей\AppData\Local\BrowserManager.bat
2015-03-13 00:21 - 2015-03-13 00:21 - 0613255 _____ (CMI Limited) C:\Users\Андрей\AppData\Local\nse4F75.tmp
2015-04-05 22:53 - 2015-04-05 22:53 - 0613255 _____ (CMI Limited) C:\Users\Андрей\AppData\Local\nso7864.tmp
2015-06-11 21:21 - 2015-06-11 21:21 - 0613255 _____ (CMI Limited) C:\Users\Андрей\AppData\Local\nsr55D5.tmp
2015-06-04 21:35 - 2015-06-04 21:35 - 0613255 _____ (CMI Limited) C:\Users\Андрей\AppData\Local\nsrD5C3.tmp
2015-05-19 17:40 - 2015-05-19 17:40 - 0613255 _____ (CMI Limited) C:\Users\Андрей\AppData\Local\nsrFC6F.tmp
2015-06-02 01:50 - 2015-06-02 01:50 - 0613255 _____ (CMI Limited) C:\Users\Андрей\AppData\Local\nss499.tmp
2015-05-31 18:39 - 2015-05-31 18:39 - 0613255 _____ (CMI Limited) C:\Users\Андрей\AppData\Local\nsvB48A.tmp
2014-12-05 16:53 - 2014-12-05 16:53 - 0000144 ____H () C:\Users\Андрей\AppData\Local\Yandex.bat
2014-12-05 16:53 - 2014-06-19 20:23 - 0103752 ____H () C:\Users\Андрей\AppData\Local\Yаndех.bаt.exe
2015-05-21 16:46 - 2015-05-21 16:46 - 0000000 _____ () C:\Users\Андрей\AppData\Local\{07B2E83F-24A9-43E4-AE8D-CD8650F15E32}
2014-12-05 16:53 - 2014-07-22 14:00 - 0876328 ____H (Yandex LLC) C:\Users\Андрей\AppData\Local\ВrоwsеrМаnаgеr.bаt.exe
2013-05-02 09:45 - 2012-09-07 21:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-05-02 09:45 - 2009-07-22 20:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-05-02 09:45 - 2012-09-07 21:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
C:\Users\Андрей\AppData\Local\Temp\3686.exe
C:\Users\Андрей\AppData\Local\Temp\684474ED-13AC-D070-FA8C-6A8AEB602498.dll
C:\Users\Андрей\AppData\Local\Temp\684474ED-13AC-D070-FA8C-6A8AEB602498.exe
C:\Users\Андрей\AppData\Local\Temp\7176.exe
C:\Users\Андрей\AppData\Local\Temp\72A22ECE-9E23-E94D-D1CA-105DBC629878.exe
C:\Users\Андрей\AppData\Local\Temp\8049.exe
C:\Users\Андрей\AppData\Local\Temp\8090.exe
C:\Users\Андрей\AppData\Local\Temp\9752.exe
C:\Users\Андрей\AppData\Local\Temp\amigo_setup.exe
C:\Users\Андрей\AppData\Local\Temp\bes2BA9.exe
C:\Users\Андрей\AppData\Local\Temp\cbicabfcccca.exe
C:\Users\Андрей\AppData\Local\Temp\cfcabfibcdg.exe
C:\Users\Андрей\AppData\Local\Temp\jue7275.exe
C:\Users\Андрей\AppData\Local\Temp\Quarantine.exe
C:\Users\Андрей\AppData\Local\Temp\rc66.exe
C:\Users\Андрей\AppData\Local\Temp\ReimagePackage.exe
C:\Users\Андрей\AppData\Local\Temp\ReiSysUpdate.exe
C:\Users\Андрей\AppData\Local\Temp\set.exe
C:\Users\Андрей\AppData\Local\Temp\setup_659.exe
C:\Users\Андрей\AppData\Local\Temp\sqlite3.dll
C:\Users\Андрей\AppData\Local\Temp\Uninstall.exe
C:\Users\Андрей\AppData\Local\Temp\_J6BlockAndSurfR79.exe
C:\Users\Андрей\AppData\Local\Temp\{8037F4AD-47C0-4B64-9C12-29FD23DCB569}.exe
Task: {00A1C6D7-3FC3-414C-8146-E7B330FF8269} - \GoogleUpdateTaskMachineUA No Task File <==== ATTENTION
Task: {1C809C25-0A57-427C-8AD6-02FDB8B6AE5E} - \ASUS Console No Task File <==== ATTENTION
Task: {249D77C4-90FE-430F-A34B-D58A0FFC90FC} - \ASUS Live Update1 No Task File <==== ATTENTION
Task: {24E50E58-8B83-4942-B150-DDBA1CC389CF} - \ASUS Splendid ACMON No Task File <==== ATTENTION
Task: {31BB79E3-7FC0-4E4D-8C7D-86B8F51906BD} - \ASUS Splendid ColorU No Task File <==== ATTENTION
Task: {757512DD-0408-4DBD-9A97-A989EA02BA87} - \ASUS P4G No Task File <==== ATTENTION
Task: {7E9D208E-3812-45BA-B321-E6FE22FC10DA} - \AsusVibeSchedule No Task File <==== ATTENTION
Task: {807DAE62-C60C-4EBB-8561-B5417D3A8F7D} - \ASUS USB Charger Plus No Task File <==== ATTENTION
Task: {86BC478B-15A0-4354-AF86-0EBE96C06476} - \CCleanerSkipUAC No Task File <==== ATTENTION
Task: {95782F0C-A0ED-4A68-9C8A-31CCA80AD0D8} - \ASUS Live Update2 No Task File <==== ATTENTION
Task: {A890A7B5-0246-48A9-B119-1777024FAE1C} - \ASUS InstantOn Config No Task File <==== ATTENTION
Task: {CC7A9828-2988-45EB-A82C-BD9DAF906BEC} - \ASUS Smart Gesture Launcher No Task File <==== ATTENTION
Task: {F59A6049-B280-4AEA-A729-6A5161C53F9F} - \User_Feed_Synchronization-{353AAD1D-9805-4AE7-860B-1A9A825178A3} No Task File <==== ATTENTION
FirewallRules: [{DA9532AA-2B09-4B33-B6F9-0FC3CA9AFCD3}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{01CD5495-B24E-4E79-A167-AD8EDE162B10}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{1158CD26-E241-4BF0-867A-63B26BD21730}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{64F63D3A-D6A0-44ED-B6EE-1622C6909901}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{3769B708-4998-4C4D-81A9-7C72DF6E3E8F}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [TCP Query User{F07D8ED1-2D41-4D8E-8A10-8894D6E31558}C:\users\андрей\appdata\local\temp\nsadc74.tmp\setup.exe] => (Allow) C:\users\андрей\appdata\local\temp\nsadc74.tmp\setup.exe
FirewallRules: [UDP Query User{F7BCA1F6-CFD7-44B1-98A8-17CB4FC7F223}C:\users\андрей\appdata\local\temp\nsadc74.tmp\setup.exe] => (Allow) C:\users\андрей\appdata\local\temp\nsadc74.tmp\setup.exe
FirewallRules: [{D8A8A89B-F6FC-45A2-9529-2F2C818E51FD}] => (Allow) C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
15.06.2015, 21:02
Андрей181

Вложений: 1

ок, см вложение. надежда хоть есть?
15.06.2015, 23:25
mike 1

Логи в порядке. С расшифровкой не поможем. Возможно смогут помочь в техподдержке Лаборатории Касперского, но для обращения туда вам потребуется [B]коммерческая[/B] лицензия на антивирус ЛК.