Зашифровались файлы

Добрый день.
Зашифровались файлы. расширение файла стало вида .fffcea67. Так же присутствуют файлы TXT с содержанием:
[QUOTE]Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.


--------------------------------------------------------------


Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты:
1) Загрузите 'Tor Browser for Windows', скачать можно тут [URL]https://www.torproject.org/download/download-easy.html.en[/URL]
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке 'http://3qo5aqjlesrudfm3.onion/?id=fffcea67&HashID=d89257b4e762ce031ba33205dd09b767' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте


--------------------------------------------------------------


ID: fffcea67
HashID: d89257b4e762ce031ba33205dd09b767


--------------------------------------------------------------


1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.
2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.
3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.
4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.


--------------------------------------------------------------


Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов:
1) Открыть архив можно только введя пароль
2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.
3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.
4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.


--------------------------------------------------------------


Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами![/QUOTE]

Уважаемый(ая) [B]Blackgri[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Антон\AppData\Roaming\newSI_832602\s_inst.exe','');
QuarantineFile('C:\Users\Антон\AppData\Roaming\newSI_4396\s_inst.exe','');
QuarantineFile('C:\Users\Антон\AppData\Roaming\Browsers\exe.resworb-mooronik.bat','');
QuarantineFile('C:\Users\Антон\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\ProgramData\caMyciloP\Strongla.dll','');
QuarantineFile('C:\Program Files\Genie Soft\Genie Cleaner\GenieFloater.exe','');
QuarantineFile('C:\Users\Антон\AppData\Roaming\MyDesktop\qweeeCL.exe','');
QuarantineFile('C:\Users\Антон\AppData\Local\Microsoft\Windows\toolbar.exe','');
QuarantineFile('C:\ProgramData\Microsoft\Network\Downloader\downloader.exe','');
QuarantineFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','');
QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','');
QuarantineFile('C:\Program Files\ShopperPro\JSDriver\1.39.0.1589\jsdrv.sys','');
DeleteService('TSSK');
DeleteService('SPDRIVER_1.39.0.1589');
DeleteService('SPBIUpdd');
DeleteService('qrnfd_1_10_0_9');
DeleteService('QMUdisk');
DeleteService('kisnetm');
DeleteService('KDHacker');
SetServiceStart('{e4a6645a-3f85-4e1f-aa41-8367978844db}w', 4);
DeleteService('{e4a6645a-3f85-4e1f-aa41-8367978844db}w');
QuarantineFile('C:\Windows\system32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}w.sys','');
DeleteService('SPBIUpd');
DeleteService('lodelofo');
DeleteService('kxescore');
QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe','');
QuarantineFile('C:\Users\Антон\AppData\Roaming\8D6CBF80-1426767140-81E0-2000-14DAE9D446D1\jnsf968C.tmp','');
TerminateProcessByName('c:\users\Антон\appdata\roaming\odnuqnxvqtacmfpq4n\tor\tor.exe');
DeleteFile('c:\users\Антон\appdata\roaming\odnuqnxvqtacmfpq4n\tor\tor.exe','32');
DeleteFile('C:\Users\Антон\AppData\Roaming\OdnUqnxVqtAcmfpq4n\tor\SSLEAY32.dll','32');
DeleteFile('C:\Users\Антон\AppData\Roaming\OdnUqnxVqtAcmfpq4n\tor\LIBEAY32.dll','32');
DeleteFile('C:\Users\Антон\AppData\Roaming\8D6CBF80-1426767140-81E0-2000-14DAE9D446D1\jnsf968C.tmp','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe','32');
DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe','32');
DeleteFile('C:\Windows\system32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}w.sys','32');
DeleteFile('C:\Windows\system32\tssk.sys','32');
DeleteFile('C:\Program Files\ShopperPro\JSDriver\1.39.0.1589\jsdrv.sys','32');
DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','32');
DeleteFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QMUdisk.sys','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm.sys','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\kxescan\kdhacker.sys','32');
DeleteFile('C:\ProgramData\Microsoft\Network\Downloader\downloader.exe','32');
DeleteFile('C:\Users\Антон\AppData\Local\Microsoft\Windows\toolbar.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Network Downloader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
DeleteFile('C:\Users\Антон\AppData\Roaming\MyDesktop\qweeeCL.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GenieFloater');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorProject');
DeleteFile('C:\ProgramData\caMyciloP\Strongla.dll','32');
DeleteFile('C:\Users\Антон\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Users\Антон\AppData\Roaming\Browsers\exe.resworb-mooronik.bat','32');
DeleteFile('C:\Users\Антон\AppData\Roaming\newSI_4396\s_inst.exe','32');
DeleteFile('C:\Users\Антон\AppData\Roaming\newSI_832602\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\PWKN.job','32');
DeleteFile('C:\Windows\Tasks\newSI_832602.job','32');
DeleteFile('C:\Windows\Tasks\newSI_4396.job','32');
DeleteFile('C:\Windows\Tasks\HOX.job','32');
DeleteFile('C:\Windows\Tasks\EYZTZ.job','32');
DeleteFile('C:\Windows\Tasks\EFQJ.job','32');
DeleteFile('C:\Windows\Tasks\CYFKEX.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(14);
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]

Загрузил запрошенный карантин и произвел еще раз все действия по получению логов.

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Лог mbam

Удалите в МВАМ все, [B]кроме[/B]
[CODE]CrackTool.Agent, D:\Adobe Audition CS6\amtlib.dll, , [9254a695e0b954e25cbff342d42efb05],
CrackTool.Agent, D:\Программы\Adobe Audition CS6\amtlib.dll, , [c5215ae123769b9bef2c4fe660a237c9],
RiskWare.Tool.HCK, D:\Программы\FL Studio 11.1.1 x64 x32 Producer\ImageLine_Keygen.exe, , [35b175c6f5a4023497e30000857c18e8], [/CODE]

Сделано
[QUOTE=thyrex;1351839]Удалите в МВАМ все, [B]кроме[/B]
[CODE]CrackTool.Agent, D:\Adobe Audition CS6\amtlib.dll, , [9254a695e0b954e25cbff342d42efb05],
CrackTool.Agent, D:\Программы\Adobe Audition CS6\amtlib.dll, , [c5215ae123769b9bef2c4fe660a237c9],
RiskWare.Tool.HCK, D:\Программы\FL Studio 11.1.1 x64 x32 Producer\ImageLine_Keygen.exe, , [35b175c6f5a4023497e30000857c18e8], [/CODE][/QUOTE]

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Логи FRST

Пришлите образцы шифрованных файлов.

Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowsers' Lnk[/url]


1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4219960221-2964319218-3002950941-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File
Toolbar: HKU\S-1-5-21-4219960221-2964319218-3002950941-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-4219960221-2964319218-3002950941-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-4219960221-2964319218-3002950941-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Extension: VKontakte.ru Downloader - C:\Users\Антон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [2016-01-13]
FF Extension: SocialLife for Firefox™ - C:\Users\Антон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-02-06] [not signed]
CHR HKLM\...\Chrome\Extension: [boikejnhiggonokccamalbhmenopmiji] - C:\Program Files\Аудио и видео скачивание\avdownloader-sk.crx <not found>
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-05-24]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\baohinapilmkigilbbbcccncoljkdpnd [2015-06-11]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhloflhklmhfpedakmangadcdofhnnoh [2015-02-16]
OPR Extension: (Quick Searcher) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\dighmiipfpfdfbfmpodcmfdgkkcakbco [2016-01-10]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-06-20]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\eignhdfgaldabilaaegmdfbajngjmoke [2015-03-18]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\fnbdnhhicmebfgdgglcdacdapkcihcoh [2015-02-01]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\gmbgaklkmjakoegficnlkhebmhkjfich [2015-02-06]
OPR Extension: (No Name) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\hgoipgmdackgnpgaaoghdplnhcbklpeo [2016-01-22]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\inoeonmfapjbbkmdafoankkfajkcphgd [2015-02-11]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\kejbdjndbnbjgmefkgdddjlbokphdefk [2015-01-22]
OPR Extension: (SL for Google Chrome™) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-07-05]
OPR Extension: (No Name) - C:\Users\Антон\AppData\Roaming\Opera Software\Opera Stable\Extensions\pfmbamigamleojkkogbejpgjdbmadgca [2016-01-22]
C:\Users\Антон\AppData\Local\Temp\0.exe
C:\Users\Антон\AppData\Local\Temp\0Hh94GFs3BkD.exe
C:\Users\Антон\AppData\Local\Temp\7i9WE5Qkr497.exe
C:\Users\Антон\AppData\Local\Temp\9674TFYiyYVB.exe
C:\Users\Антон\AppData\Local\Temp\9aP1GN6TG7HU.exe
C:\Users\Антон\AppData\Local\Temp\amigoBrowser.exe
C:\Users\Антон\AppData\Local\Temp\AmigoDistrib (1).exe
C:\Users\Антон\AppData\Local\Temp\Delta.exe
C:\Users\Антон\AppData\Local\Temp\dist-X.Y.Z.exe
C:\Users\Антон\AppData\Local\Temp\downloader.exe
C:\Users\Антон\AppData\Local\Temp\esi54eEKXmWe.exe
C:\Users\Антон\AppData\Local\Temp\fPbXiRe7XeMk.exe
C:\Users\Антон\AppData\Local\Temp\GLFFF23.tmp.ConduitEngineSetup.exe
C:\Users\Антон\AppData\Local\Temp\jUrVG6U4ZJXU.exe
C:\Users\Антон\AppData\Local\Temp\libcurl.dll
C:\Users\Антон\AppData\Local\Temp\log4cplusU.dll
C:\Users\Антон\AppData\Local\Temp\magentsetup.exe
C:\Users\Антон\AppData\Local\Temp\mailruhomesearch.exe
C:\Users\Антон\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Антон\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Антон\AppData\Local\Temp\nsk12B.tmp.exe
C:\Users\Антон\AppData\Local\Temp\nsuBCE7.tmp.exe
C:\Users\Антон\AppData\Local\Temp\qqpcmgr_v10.9.16349.225_71967_Silence.exe
C:\Users\Антон\AppData\Local\Temp\ReimageExpressSetup.exe
C:\Users\Антон\AppData\Local\Temp\ReimagePackage.exe
C:\Users\Антон\AppData\Local\Temp\setup101201603412.exe
C:\Users\Антон\AppData\Local\Temp\tGDT6KMixCoc.exe
C:\Users\Антон\AppData\Local\Temp\u9WFoYQQ9BhA.exe
C:\Users\Антон\AppData\Local\Temp\ubi1258.tmp.exe
C:\Users\Антон\AppData\Local\Temp\ubi3D38.tmp.exe
C:\Users\Антон\AppData\Local\Temp\ubi5ED5.tmp.exe
C:\Users\Антон\AppData\Local\Temp\ubi5F0A.tmp.exe
C:\Users\Антон\AppData\Local\Temp\ubi6B1A.tmp.exe
C:\Users\Антон\AppData\Local\Temp\ubi82D0.tmp.exe
C:\Users\Антон\AppData\Local\Temp\ubi9FCD.tmp.exe
C:\Users\Антон\AppData\Local\Temp\ubiACB6.tmp.exe
C:\Users\Антон\AppData\Local\Temp\ubiDE84.tmp.exe
C:\Users\Антон\AppData\Local\Temp\unzeta.exe
C:\Users\Антон\AppData\Local\Temp\w1GYDfB6vyLI.exe
C:\Users\Антон\AppData\Local\Temp\WA6v3yWrS7TK.exe
C:\Users\Антон\AppData\Local\Temp\winnerdm.exe
C:\Users\Антон\AppData\Local\Temp\xxtfpkxhMS3t.exe
C:\Users\Антон\AppData\Local\Temp\yiOI3ytMiSW6.exe
C:\Users\Антон\AppData\Local\Temp\ZdvQEtZyj8jP.exe
C:\Users\Антон\AppData\Local\Temp\ZKg6GXNAUHHp.exe
CustomCLSID: HKU\S-1-5-21-4219960221-2964319218-3002950941-1000_Classes\CLSID\{2614C37E-2C78-4bfb-B7A6-E49B62B9CD9B}\localserver32 -> "C:\Users\Антон\AppData\Local\Yandex\Updater\yupdate-executor.exe" => No File
CustomCLSID: HKU\S-1-5-21-4219960221-2964319218-3002950941-1000_Classes\CLSID\{86002F38-B7C3-48C2-AEFD-6BC409D250F7}\localserver32 -> "C:\Users\Антон\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-4219960221-2964319218-3002950941-1000_Classes\CLSID\{92FDEF05-B35E-4806-B87F-8B66AB649997}\localserver32 -> "C:\Users\Антон\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-4219960221-2964319218-3002950941-1000_Classes\CLSID\{9F0BF664-B611-4C53-AEEA-FDBFCE6E3CA3}\localserver32 -> "C:\Users\Антон\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-4219960221-2964319218-3002950941-1000_Classes\CLSID\{A8BD93E8-F6AE-4F02-828D-DE47FEC4D375}\localserver32 -> "C:\Users\Антон\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-4219960221-2964319218-3002950941-1000_Classes\CLSID\{AD4409E5-23C2-412B-849D-8FC0635B4073}\localserver32 -> "C:\Users\Антон\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-4219960221-2964319218-3002950941-1000_Classes\CLSID\{AEE9D70C-6C9E-4B27-9F2C-8F14E95BEEF6}\localserver32 -> "C:\Users\Антон\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
CustomCLSID: HKU\S-1-5-21-4219960221-2964319218-3002950941-1000_Classes\CLSID\{D236C998-BECE-472D-B939-541727B72AEF}\localserver32 -> "C:\Users\Антон\AppData\Local\Yandex\Updater\yupdate-executor.exe" => No File
CustomCLSID: HKU\S-1-5-21-4219960221-2964319218-3002950941-1000_Classes\CLSID\{DD20920E-515A-4342-85E3-FC9A9FDA55C2}\localserver32 -> "C:\Users\Антон\AppData\Local\Yandex\BrowserManager\BrowserManagerShow.exe" => No File
Task: {AC4CB4CE-6646-46ED-A46E-658DC66A73A5} - \{BD2595F9-B2E9-499F-AA53-0C34DB3AD745} -> No File <==== ATTENTION
Task: {B9F4F0B1-E03C-45A6-81E6-FF08027C31E9} - \Обновление Браузера Яндекс -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879
AlternateDataStreams: C:\Users\Все пользователи\TEMP:56E2E879
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Прикреплен лог

Странно Вы читаете... Первые два предложения в моем предыдущем сообщении как-будто и не заметили...

Прошу прощения.

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]

3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.

Прикрепил

[b][color=#FF0000]Внимание![/color][/b] Данный дешифратор предназначен только для пользователя [b]Blackgri[/b]

Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим [COLOR="#FF0000"][B]не рекомендуется[/B][/COLOR].

1. Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
2. [url=https://yadi.sk/d/C3BvfaUan5XG2]Дешифратор[/url]

Принцип работы с дешифратором:
1. Сохраните дешифратор в отдельно созданную папку.
2. Сохраните прикрепленное вложение в папку с дешифратором.
3. Распакуйте архив с ключом.
4. Запустите дешифратор и дождитесь окончания его работы.

Спасибо. Все получилось!

Удалите МВАМ

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]32[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]