Вирус зашифровал и изменил расширения файлов doc, xls, jpg и прочих [not-a-virus:RiskTool.NSIS.ExtInstall.a]

Printable View

13.01.2016, 12:16
Kaphiel

Вложений: 2

Вирус зашифровал и изменил расширения файлов doc, xls, jpg и прочих [not-a-virus:RiskTool.NSIS.ExtInstall.a]

Добрый день.
На работе у руководителя обнаружил такую проблему. Вирус зашифровал и поменял расширения всех файлов в формате doc, xls, jpg, pdf.
В каждой папке находится txt-файл следующего содержания:
[QUOTE]Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

--------------------------------------------------------------

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты:
1) Загрузите 'Tor Browser for Windows', скачать можно тут [URL]https://www.torproject.org/download/download-easy.html.en[/URL]
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке 'http://2hscl4fwxetqdiml.onion/?id=f8c3e335&HashID=479deab707322a5b46db0904d5ea9678' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте

--------------------------------------------------------------

ID: f8c3e335
HashID: 479deab707322a5b46db0904d5ea9678

--------------------------------------------------------------

1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.
2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.
3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.
4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.

--------------------------------------------------------------

Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов:
1) Открыть архив можно только введя пароль
2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.
3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.
4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.

--------------------------------------------------------------

Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!
[URL]https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard[/URL][/QUOTE]
Провел сканирование утилитами AVZ и Hijackthis. Логи прилагаю.
Ссылка на несколько зашифрованных файлов: [URL]http://rghost.ru/6hBxjtV8m[/URL]
13.01.2016, 12:18
Info_bot

Уважаемый(ая) [B]Kaphiel[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
13.01.2016, 13:19
Kaphiel

Логи сканирования и зашифрованные файлы в первом сообщении.
Возможно нашел источник заражения. Ссылка на архив с файлом: [URL="http://rghost.ru/8hXnJyd2l"]Осторожно! Возможно заражение![/URL]
14.01.2016, 16:40
Kaphiel

Особенно интересует возможность расшифровки файлов, потому как испорчено очень много важных документов.
14.01.2016, 22:25
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Admin\AppData\Roaming\WindowsUpdater\Updater.exe','');
QuarantineFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\8312\Updater.exe','');
DelBHO('{1F91A9A1-01BA-4c81-863D-3BA0751E1419}');
QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','');
QuarantineFile('C:\ProgramData\GGRzMTbIwKvMT\hMadpjatmKtg1.bat','');
QuarantineFile('C:\ProgramData\XWWogxOiZFqpgZ\bTeEUIVueVl5.bat','');
QuarantineFile('C:\ProgramData\jyTRWR\XqJwVTwBHcWSP0.bat','');
QuarantineFile('C:\ProgramData\Medlight\Unilam.dll','');
QuarantineFile('C:\ProgramData\Medlight\Rehold.dll','');
QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\mdndbhepfbopchbgmdchaoflagepmehg\config.json','');
QuarantineFile('C:\Users\Admin\AppData\Local\mdndbhepfbopchbgmdchaoflagepmehg\stub.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Program Files (x86)\mbot_ru_014010202\mbot_ru_014010202.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
SetServiceStart('iSafeKrnl', 4);
SetServiceStart('iSafeKrnlKit', 4);
SetServiceStart('iSafeKrnlMon', 4);
SetServiceStart('iSafeKrnlR3', 4);
SetServiceStart('iSafeNetFilter', 4);
SetServiceStart('MPCKpt', 4);
DeleteService('iSafeKrnlBoot');
DeleteService('MPCKpt');
DeleteService('iSafeNetFilter');
DeleteService('iSafeKrnlR3');
DeleteService('iSafeKrnlMon');
DeleteService('iSafeKrnlKit');
DeleteService('iSafeKrnl');
SetServiceStart('Medlight', 4);
DeleteService('Medlight');
SetServiceStart('MPCProtectService', 4);
DeleteService('MPCProtectService');
SetServiceStart('TDataSvr', 4);
DeleteService('TDataSvr');
DeleteService('DefSrv');
DeleteService('ApplicationHosting');
QuarantineFile('C:\ProgramData\ApplicationHosting\ApplicationHosting.exe','');
DeleteService('mumegohuzbt');
DeleteService('pybegyxy');
DeleteService('wucotusy');
QuarantineFile('C:\Program Files (x86)\03000200-1452504544-0500-0006-000700080009\hnszB669.tmp','');
QuarantineFile('C:\Program Files (x86)\03000200-1452504544-0500-0006-000700080009\knsz4EC9.tmpfs','');
TerminateProcessByName('c:\program files (x86)\tdatadld\tdata.exe');
QuarantineFile('c:\program files (x86)\tdatadld\tdata.exe','');
TerminateProcessByName('C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe');
QuarantineFile('C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe','');
QuarantineFile('c:\program files (x86)\mpc cleaner\mpctray.exe','');
TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpctray.exe');
TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe');
QuarantineFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe','');
TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafetray.exe');
TerminateProcessByName('c:\programdata\medlight\medlight.exe');
QuarantineFile('c:\programdata\medlight\medlight.exe','');
QuarantineFile('c:\program files (x86)\elex-tech\yac\isafetray.exe','');
DeleteFile('c:\programdata\medlight\medlight.exe','32');
DeleteFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe','32');
DeleteFile('c:\program files (x86)\mpc cleaner\mpctray.exe','32');
DeleteFile('C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe','32');
DeleteFile('c:\program files (x86)\tdatadld\tdata.exe','32');
DeleteFile('c:\users\admin\appdata\roaming\odnuqnxvqtacmfpq4n\tor\tor.exe','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iImportLib.dll','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\ipcproxy.dll','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeAdless.dll','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeBase.dll','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafebs.dll','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeCheckEngine.dll','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeDisp.dll','32');
DeleteFile('C:\Program Files (x86)\TDataDld\MSVCP100.dll','32');
DeleteFile('C:\Program Files (x86)\TDataDld\MSVCR100.dll','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\OdnUqnxVqtAcmfpq4n\tor\LIBEAY32.dll','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\OdnUqnxVqtAcmfpq4n\tor\SSLEAY32.dll','32');
DeleteFile('C:\Program Files (x86)\MPC Cleaner\XSkin.dll','32');
DeleteFile('C:\Program Files (x86)\MPC Cleaner\XBus.dll','32');
DeleteFile('C:\Program Files (x86)\MPC Cleaner\WinService.dll','32');
DeleteFile('C:\Program Files (x86)\MPC Cleaner\Web.dll','32');
DeleteFile('C:\Program Files (x86)\MPC Cleaner\Utility.dll','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\iSafeNetFilter.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32');
DeleteFile('C:\Program Files (x86)\03000200-1452504544-0500-0006-000700080009\knsz4EC9.tmpfs','32');
DeleteFile('C:\Users\Admin\AppData\Local\03000200-1425306646-0500-0006-000700080009\cnshF179.tmp','32');
DeleteFile('C:\Program Files (x86)\03000200-1452504544-0500-0006-000700080009\hnszB669.tmp','32');
DeleteFile('C:\Program Files (x86)\kingsoft\ksdef\ksdefserver.exe','32');
DeleteFile('C:\ProgramData\ApplicationHosting\ApplicationHosting.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files (x86)\mbot_ru_014010202\mbot_ru_014010202.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mbot_ru_014010202');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
DeleteFile('C:\Users\Admin\AppData\Roaming\daemon2.exe','32');
DeleteFile('C:\Users\Admin\AppData\Local\Kometa\Application\kometa.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_AA6866A11F41B448D122596B48E4CE54');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
DeleteFile('C:\Users\Admin\AppData\Local\mdndbhepfbopchbgmdchaoflagepmehg\stub.exe','32');
DeleteFile('C:\Users\Admin\AppData\Local\mdndbhepfbopchbgmdchaoflagepmehg\config.json','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mdndbhepfbopchbgmdchaoflagepmehg');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mailruhomesearch');
DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
DeleteFile('C:\ProgramData\Medlight\Rehold.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorProject');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
DeleteFile('C:\ProgramData\jyTRWR\XqJwVTwBHcWSP0.bat','32');
DeleteFile('C:\ProgramData\XWWogxOiZFqpgZ\bTeEUIVueVl5.bat','32');
DeleteFile('C:\ProgramData\GGRzMTbIwKvMT\hMadpjatmKtg1.bat','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','32');
DeleteFile('C:\Users\Admin\AppData\Local\8312\Updater.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\Windows\Tasks\PPTAssistantNotifyTask_Admin.job','32');
DeleteFile('C:\Users\Admin\AppData\Local\PPTAssist\notify.exe','32');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\extsetup','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\SafeBrowser','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
DeleteFile('C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Pending Update','64');
DeleteFile('C:\Windows\system32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Core','64');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Windows\system32\Tasks\PPTAssistantNotifyTask_Admin','64');
DeleteFile('C:\Users\Admin\AppData\Roaming\WindowsUpdater\Updater.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowsers' Lnk[/url]

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
15.01.2016, 00:05
Kaphiel

Спасибо. Завтра сделаю. Уже не на работе. :)
15.01.2016, 17:33
Kaphiel

Вложений: 3

Сделал всё как вы сказали. Скрипт запустил. Карантин отправил. Просканировал с лечением ESS 8, AVPTool и Dr.Web CureIt!.
Прикрепляю логи.
15.01.2016, 21:47
thyrex

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]

3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.

+ Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
18.01.2016, 15:14
Kaphiel

Вложений: 2

Сделал. Логи прикрепляю.
18.01.2016, 23:41
thyrex

Удалите в МВАМ все найденное
20.01.2016, 11:51
Kaphiel

Удалил. Что делать дальше?
20.01.2016, 21:46
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
21.01.2016, 11:01
Kaphiel

Вложений: 1

Сделал. Логи прикрепляю в архиве.
22.01.2016, 20:16
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3012465-1733896275-2943670410-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
CHR Extension: (Куппоинт — бесплатные промокоды) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\mdndbhepfbopchbgmdchaoflagepmehg [2016-01-13]
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X]
2016-01-12 15:00 - 2016-01-12 17:51 - 00000000 ____D C:\Users\Все пользователи\XKTVEcktMh
2016-01-12 15:00 - 2016-01-12 17:51 - 00000000 ____D C:\ProgramData\XKTVEcktMh
2016-01-12 11:01 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\lgfpVdrSctGYN
2016-01-12 11:01 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\lgfpVdrSctGYN
2016-01-12 11:01 - 2016-01-12 17:51 - 00000000 ____D C:\Users\Все пользователи\XWWogxOiZFqpgZ
2016-01-12 11:01 - 2016-01-12 17:51 - 00000000 ____D C:\Users\Все пользователи\jyTRWR
2016-01-12 11:01 - 2016-01-12 17:51 - 00000000 ____D C:\ProgramData\XWWogxOiZFqpgZ
2016-01-12 11:01 - 2016-01-12 17:51 - 00000000 ____D C:\ProgramData\jyTRWR
2016-01-12 09:22 - 2016-01-12 09:22 - 00232296 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kssafe.sys
2016-01-12 09:15 - 2016-01-15 09:38 - 00000000 ____D C:\Users\Admin\AppData\Roaming\tor
2016-01-12 09:14 - 2016-01-13 09:22 - 00000000 ____D C:\Users\Admin\AppData\Roaming\OdnUqnxVqtAcmfpq4n
2016-01-12 09:13 - 2016-01-12 17:51 - 00000000 ____D C:\Users\Все пользователи\txinTvpijKjJ
2016-01-12 09:13 - 2016-01-12 17:51 - 00000000 ____D C:\ProgramData\txinTvpijKjJ
2016-01-11 15:38 - 2016-01-12 15:04 - 00000000 ____D C:\Users\Admin\AppData\Local\03000200-1452526716-0500-0006-000700080009
2016-01-11 13:33 - 2016-01-11 13:33 - 00000000 ____D C:\Users\Admin\mobogenieP2sp
2016-01-11 13:33 - 2016-01-11 13:33 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Mobogenie
2016-01-11 12:49 - 2016-01-11 12:49 - 00000000 ____D C:\Users\Admin\AppData\Roaming\ks
2016-01-11 12:33 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\wVvKEYJ
2016-01-11 12:33 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\wVvKEYJ
2016-01-11 12:33 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\LxMIbBNIixio
2016-01-11 12:33 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\LxMIbBNIixio
2016-01-11 12:13 - 2016-01-12 17:40 - 00000000 ____D C:\Users\Admin\AppData\Roaming\kingsoft
2016-01-11 11:56 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\jIaIOyfBpLMtgRD
2016-01-11 11:56 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\jIaIOyfBpLMtgRD
2016-01-11 11:42 - 2016-01-13 15:06 - 00000000 ____D C:\Users\Admin\AppData\Local\PPTAssist
2016-01-11 11:42 - 2016-01-11 12:49 - 00000000 ____D C:\Users\Все пользователи\kingsoft
2016-01-11 11:42 - 2016-01-11 12:49 - 00000000 ____D C:\ProgramData\kingsoft
2016-01-11 11:42 - 2016-01-11 12:46 - 00000000 ____D C:\Users\Admin\AppData\Roaming\pptassist
2016-01-11 11:40 - 2016-01-11 11:40 - 00000008 _____ C:\END
2016-01-11 11:31 - 2016-01-15 15:38 - 00000000 ____D C:\Users\Admin\AppData\Local\03000200-1452511860-0500-0006-000700080009
2016-01-11 11:30 - 2009-06-10 23:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hp.bak
2016-01-11 11:29 - 2016-01-12 15:45 - 00000000 ____D C:\Users\Admin\AppData\Roaming\YSPackage
2016-01-11 11:19 - 2016-01-20 09:07 - 00000000 ____D C:\Program Files (x86)\Adobe Update
2015-12-30 12:11 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\YEGgFyyvzGnPK
2015-12-30 12:11 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\uBzYgV
2015-12-30 12:11 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\YEGgFyyvzGnPK
2015-12-30 12:11 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\uBzYgV
2015-12-30 12:11 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\GwDYfJePYAOTuO
2015-12-30 12:11 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\GwDYfJePYAOTuO
2015-12-30 08:58 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\mHeDTP
2015-12-30 08:58 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\mHeDTP
2015-12-29 14:56 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\qHqVuvSTPpzBOe
2015-12-29 14:56 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\qHqVuvSTPpzBOe
2015-12-29 14:56 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\KgzKeAvxgyQJMK
2015-12-29 14:56 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\CncLBjq
2015-12-29 14:56 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\KgzKeAvxgyQJMK
2015-12-29 14:56 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\CncLBjq
2015-12-28 13:32 - 2016-01-12 17:40 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Calculator
2015-12-28 13:32 - 2016-01-12 17:40 - 00000000 ____D C:\Users\Admin\AppData\Local\ZetaGamesNews
2015-12-28 13:07 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\pSahcvMs
2015-12-28 13:07 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\pSahcvMs
2015-12-28 13:07 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\EzGllYXwGoQwsz
2015-12-28 13:07 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\EoTNjRQ
2015-12-28 13:07 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\EzGllYXwGoQwsz
2015-12-28 13:07 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\EoTNjRQ
2015-12-28 09:07 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\YsOYaBljm
2015-12-28 09:07 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\uuKeWGCsQuSNtI
2015-12-28 09:07 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\YsOYaBljm
2015-12-28 09:07 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\uuKeWGCsQuSNtI
2015-12-25 12:50 - 2016-01-15 10:00 - 00000000 ____D C:\Users\Все пользователи\NEXHiCMYseprQTz
2015-12-25 12:50 - 2016-01-15 10:00 - 00000000 ____D C:\ProgramData\NEXHiCMYseprQTz
2015-12-25 12:50 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\FuiYcspq
2015-12-25 12:50 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\FuiYcspq
2015-12-25 08:50 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\SMSVzoEYKz
2015-12-25 08:50 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\SMSVzoEYKz
2015-12-24 13:01 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\ukfilAwjDGwtwS
2015-12-24 13:01 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\ukfilAwjDGwtwS
2015-12-24 13:01 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\KHiTROTXR
2015-12-24 13:01 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\hwSGhASMbtL
2015-12-24 13:01 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\KHiTROTXR
2015-12-24 13:01 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\hwSGhASMbtL
2015-12-23 13:08 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\cbuwWOMmTlS
2015-12-23 13:08 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\bBRwGSvyUBMJv
2015-12-23 13:08 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\aDdpKtkJf
2015-12-23 13:08 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\cbuwWOMmTlS
2015-12-23 13:08 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\bBRwGSvyUBMJv
2015-12-23 13:08 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\aDdpKtkJf
2015-12-22 13:02 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\INIwWiSMHpM
2015-12-22 13:02 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\AUQGtPVk
2015-12-22 13:02 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\INIwWiSMHpM
2015-12-22 13:02 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\AUQGtPVk
2015-12-22 09:02 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\hapCjVIkptKQJ
2015-12-22 09:02 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\hapCjVIkptKQJ
2015-12-21 13:08 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\tAkosJWoXv
2015-12-21 13:08 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\tAkosJWoXv
2015-12-21 13:08 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\byhCyRZMGVTC
2015-12-21 13:08 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\byhCyRZMGVTC
2015-12-21 09:08 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\FtDdLOhzixgQL
2015-12-21 09:08 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\FtDdLOhzixgQL
2015-12-18 13:13 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\yWIuMg
2015-12-18 13:13 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\yWIuMg
2015-12-18 13:13 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\lTeSHihNXaEf
2015-12-18 13:13 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\lTeSHihNXaEf
2015-12-18 09:13 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\BpSApxq
2015-12-18 09:13 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\BpSApxq
2015-12-17 12:50 - 2016-01-15 10:00 - 00000000 ____D C:\Users\Все пользователи\MtiPfNP
2015-12-17 12:50 - 2016-01-15 10:00 - 00000000 ____D C:\ProgramData\MtiPfNP
2015-12-17 12:50 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\HYNCpohJOtu
2015-12-17 12:50 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\aZagwhJJNi
2015-12-17 12:50 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\HYNCpohJOtu
2015-12-17 12:50 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\aZagwhJJNi
2015-12-16 13:14 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\WqqWIEPvVusjHYU
2015-12-16 13:14 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\WqqWIEPvVusjHYU
2015-12-16 13:14 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\KOzVqG
2015-12-16 13:14 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\dGhhpMLDtSjwqkt
2015-12-16 13:14 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\KOzVqG
2015-12-16 13:14 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\dGhhpMLDtSjwqkt
2015-12-16 09:15 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\KlMhRdcCAwqX
2015-12-16 09:15 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\KlMhRdcCAwqX
2015-12-15 13:16 - 2016-01-15 10:00 - 00000000 ____D C:\Users\Все пользователи\nNHBYKEbXRjqtm
2015-12-15 13:16 - 2016-01-15 10:00 - 00000000 ____D C:\ProgramData\nNHBYKEbXRjqtm
2015-12-15 13:16 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\CWGGlG
2015-12-15 13:16 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\bTpkSltgYDvdN
2015-12-15 13:16 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\CWGGlG
2015-12-15 13:16 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\bTpkSltgYDvdN
2015-12-14 12:51 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\TAlTFZzrzlHXH
2015-12-14 12:51 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\svAsRJygC
2015-12-14 12:51 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\TAlTFZzrzlHXH
2015-12-14 12:51 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\svAsRJygC
2015-12-14 12:51 - 2016-01-15 10:00 - 00000000 ____D C:\Users\Все пользователи\mTVjcFYkSTZpQJn
2015-12-14 12:51 - 2016-01-15 10:00 - 00000000 ____D C:\ProgramData\mTVjcFYkSTZpQJn
2015-12-11 13:01 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\XSijtEpGMCgxM
2015-12-11 13:01 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\wwSUQiHSrXVV
2015-12-11 13:01 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\XSijtEpGMCgxM
2015-12-11 13:01 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\wwSUQiHSrXVV
2015-12-11 13:01 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\KklWhNgtTZLQvw
2015-12-11 13:01 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\KklWhNgtTZLQvw
2015-12-10 12:53 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\jIxIUgAWMjP
2015-12-10 12:53 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\DWzjbMPA
2015-12-10 12:53 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\jIxIUgAWMjP
2015-12-10 12:53 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\DWzjbMPA
2015-12-10 08:53 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\IRntkzWaf
2015-12-10 08:53 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\IRntkzWaf
2015-12-09 14:47 - 2016-01-15 10:05 - 00000000 ____D C:\Users\Все пользователи\qjrEvvnxKvYQ
2015-12-09 14:47 - 2016-01-15 10:05 - 00000000 ____D C:\ProgramData\qjrEvvnxKvYQ
2015-12-09 09:20 - 2016-01-15 10:07 - 00000000 ____D C:\Users\Admin\AppData\Local\mdndbhepfbopchbgmdchaoflagepmehg
2015-12-09 09:19 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\jBeyxtp
2015-12-09 09:19 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\HanrIV
2015-12-09 09:19 - 2016-01-15 09:59 - 00000000 ____D C:\Users\Все пользователи\dwbLTyTvPRuyg
2015-12-09 09:19 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\jBeyxtp
2015-12-09 09:19 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\HanrIV
2015-12-09 09:19 - 2016-01-15 09:59 - 00000000 ____D C:\ProgramData\dwbLTyTvPRuyg
2015-12-09 09:19 - 2016-01-13 09:20 - 00000000 ____D C:\Users\Все пользователи\GGRzMTbIwKvMT
2015-12-09 09:19 - 2016-01-13 09:20 - 00000000 ____D C:\ProgramData\GGRzMTbIwKvMT
2015-11-03 09:45 - 2015-12-08 09:15 - 00000000 _____ C:\Users\Admin\AppData\Roaming\smw_inst
2015-11-03 08:54 - 2016-01-11 11:56 - 00000378 _____ C:\appverifier.txt
2015-11-02 13:32 - 2015-11-02 13:32 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета
2015-11-02 13:25 - 2016-01-11 11:59 - 00000000 ____D C:\Users\Admin\AppData\Roaming\WindowsUpdater
2015-11-02 13:25 - 2015-11-02 13:25 - 00003634 _____ C:\Windows\System32\Tasks\WindowsUpdater
2015-11-02 13:21 - 2015-11-02 13:21 - 00000000 ____D C:\Users\Admin\AppData\Local\Вoйти в Интeрнет
2015-11-02 13:16 - 2015-11-02 13:17 - 00000000 ____D C:\Users\Все пользователи\UBar
2015-11-02 13:16 - 2015-11-02 13:17 - 00000000 ____D C:\ProgramData\UBar
2015-11-02 13:15 - 2016-01-13 08:50 - 00000000 __SHD C:\Users\Все пользователи\KRB Updater Utility
2015-11-02 13:15 - 2016-01-13 08:50 - 00000000 __SHD C:\ProgramData\KRB Updater Utility
2015-11-02 13:13 - 2016-01-12 15:47 - 00000000 ____D C:\Users\Admin\AppData\Local\Amigo
2015-11-02 13:13 - 2015-11-02 13:13 - 00000000 ____D C:\Users\Admin\AppData\Local\Поиcк в Интeрнете
Task: {1523A7C9-87C5-416E-9E85-35E908EC1A8D} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {1B2340BD-B2E5-4600-9368-368D48DEFB7E} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {3B6B77FD-16E8-497A-8191-763F0B262DB6} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> No File <==== ATTENTION
Task: {4087903B-DE97-43F2-BEF0-C94668379333} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {5069AE7F-EB23-43B9-8322-7569CEDC6C1A} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {62F9B556-3F1E-474D-9EB6-96646889815F} - \SwiftSearch Auto Updater 1.10.0.25 Core -> No File <==== ATTENTION
Task: {6314F2FC-8434-40DD-803F-26ED6C08AD40} - \Microsoft\extsetup -> No File <==== ATTENTION
Task: {6ADEFA0E-B310-4284-BEA6-4766C8349B7A} - \Microsoft\SafeBrowser -> No File <==== ATTENTION
Task: {6DA0F0F5-0FAF-4533-922B-0E76416B4E39} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {89BE7953-73CB-45EE-8214-884BB661E337} - \psv_Treehatbam -> No File <==== ATTENTION
Task: {AAB817CB-D603-464A-B842-47558B325BF4} - System32\Tasks\Microsoft\Windows\FDF89704-B352-42A2-9494-60DBA8EB38AD => C:\Program Files (x86)\Common Files\1C65E496-C50A-4DCD-9BB5-07F6177A80D1\FDF89704-B352-42A2-9494-60DBA8EB38AD.exe <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51
AlternateDataStreams: C:\Users\Public\DRM:احتضان
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VSProtectProxy => ""="service"
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
25.01.2016, 10:38
Kaphiel

Вложений: 1

Сделал. Лог прикрепляю.
26.01.2016, 20:22
thyrex

Вложений: 1

[b][color=#FF0000]Внимание![/color][/b] Данный дешифратор предназначен только для пользователя [b]Kaphiel[/b]

Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим [COLOR="#FF0000"][B]не рекомендуется[/B][/COLOR].

1. Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
2. [url=https://yadi.sk/d/C3BvfaUan5XG2]Дешифратор[/url]

Принцип работы с дешифратором:
1. Сохраните дешифратор в отдельно созданную папку.
2. Сохраните прикрепленное вложение в папку с дешифратором.
3. Распакуйте архив с ключом.
4. Запустите дешифратор и дождитесь окончания его работы.
09.02.2016, 15:43
Kaphiel

Добрый день.
Прошу прощения за долгое молчание - не было доступа к компьютеру.
Расшифровка прошла успешно. Все файлы в целости и сохранности. Компьютер жив и здоров.
Премного вам благодарны!
09.02.2016, 15:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\medlight\unilam.dll - [B]Trojan.Win64.Agent.dms[/B][*] c:\users\admin\appdata\local\microsoft\extensions\extsetup.exe - [B]not-a-virus:RiskTool.NSIS.ExtInstall.a[/B] ( DrWEB: archive: )[*] f:\my documents\downloads\rukovodstvo_po_kachestvu_organa_po_sertifikatsii_produktsii.exe - [B]not-a-virus:HEUR:Downloader.Win32.Agent.gen[/B][/LIST][/LIST]