Шифровальщик. [email protected] 1.3.1.0.id [Trojan.Win32.Inject.addje, Trojan.Win32.Inject.adatw ]

Printable View

10.01.2017, 09:57
Yerdenoff

Вложений: 1

Шифровальщик. [email protected] 1.3.1.0.id [Trojan.Win32.Inject.addje, Trojan.Win32.Inject.adatw ]

Добрый день!

На машине стоял белый айпишник со включенным RDP, никаких электронных писем не было, видимо машина где засветилась со своим айпишником. После выходных обнаружил, что все файл зашифровались и имеют примерно следующий вид [EMAIL="[email protected]"][email protected][/EMAIL]-CL [email]1.3.1.0.id-@@@@@E229-AAE5.randomname-GIJJKKLMNNOOPPQRSSSTUUVWWWXYYZ.ABB.bcc[/email]. Примеры файлов выложены тут [URL]https://yadi.sk/d/7_Q2qfjT388dCp[/URL], логи Autologgera прикрепил к сообщению.
Прошу помочь!
10.01.2017, 09:58
Info_bot

Уважаемый(ая) [B]Yerdenoff[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
11.01.2017, 16:25
SQ

Здравствуйте,

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
12.01.2017, 12:49
Yerdenoff

Вложений: 1

Добрый день! Вложил в архив и прикрепил два файла
12.01.2017, 19:55
SQ

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
Zip: C:\ProgramData\Microsoft\dygam\dygam.exe;C:\ProgramData\Microsoft\ajym\ajym.exe;C:\Users\MASTER\AppData\Local\eliha\eliha.exe;C:\Users\MASTER\AppData\Local\egyku\egyku.exe;C:\Users\MASTER\AppData\Local\ketev\ketev.exe;C:\Users\MASTER\AppData\Roaming\48994.exe;C:\Users\MASTER\Desktop\s.exe
HKLM\...\Run: [*dygam<*>] => "C:\ProgramData\Microsoft\dygam\dygam.exe" <===== ATTENTION (Value Name with invalid characters)
HKLM\...\Run: [*ajym<*>] => "C:\ProgramData\Microsoft\ajym\ajym.exe" <===== ATTENTION (Value Name with invalid characters)
HKU\S-1-5-21-453963532-3089772383-555759606-1000\...\Run: [*eliha<*>] => "C:\Users\MASTER\AppData\Local\eliha\eliha.exe" <===== ATTENTION (Value Name with invalid characters)
HKU\S-1-5-21-453963532-3089772383-555759606-1000\...\Run: [*egyku<*>] => "C:\Users\MASTER\AppData\Local\egyku\egyku.exe" <===== ATTENTION (Value Name with invalid characters)
HKU\S-1-5-21-453963532-3089772383-555759606-1000\...\Run: [*ketev<*>] => "C:\Users\MASTER\AppData\Local\ketev\ketev.exe" <===== ATTENTION (Value Name with invalid characters)
HKU\S-1-5-18\...\Run: [*dygam<*>] => "C:\ProgramData\Microsoft\dygam\dygam.exe" <===== ATTENTION (Value Name with invalid characters)
HKU\S-1-5-18\...\Run: [*ajym<*>] => "C:\ProgramData\Microsoft\ajym\ajym.exe" <===== ATTENTION (Value Name with invalid characters)
Startup: C:\Users\IRAM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk [2012-01-22]
ShortcutTarget: OpenOffice.org 3.2.lnk -> C:\Program Files\OpenOffice.org 3\program\quickstart.exe (No File)
SearchScopes: HKLM -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://ru.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CMDTDF
SearchScopes: HKU\S-1-5-21-453963532-3089772383-555759606-1000 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://ru.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CMDTDF
SearchScopes: HKU\S-1-5-21-453963532-3089772383-555759606-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://ru.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CMDTDF
S3 4F97DCDBE96EAD72; \??\C:\Windows\TEMP\416C137.sys [X]
2017-01-07 07:59 - 2017-01-07 07:59 - 00000390 _____ C:\Users\Все пользователи\README.txt
2017-01-07 07:59 - 2017-01-07 07:59 - 00000390 _____ C:\Users\README.txt
2017-01-07 07:59 - 2017-01-07 07:59 - 00000390 _____ C:\README.txt
2017-01-07 07:59 - 2017-01-07 07:59 - 00000390 _____ C:\ProgramData\README.txt
2017-01-07 07:57 - 2017-01-07 07:57 - 00000390 _____ C:\Users\Администратор\README.txt
2017-01-07 07:57 - 2017-01-07 07:57 - 00000390 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-07 07:47 - 2017-01-07 07:57 - 00000390 _____ C:\Users\Администратор\Documents\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\Администратор\Downloads\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\Администратор\Desktop\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\Администратор\AppData\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\Администратор\AppData\Local\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\User\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\User\Downloads\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\User\Documents\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\User\Desktop\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\User\AppData\Roaming\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\User\AppData\README.txt
2017-01-07 07:47 - 2017-01-07 07:47 - 00000390 _____ C:\Users\User\AppData\LocalLow\README.txt
2017-01-07 07:41 - 2017-01-07 07:47 - 00000390 _____ C:\Users\User\AppData\Local\README.txt
2017-01-07 07:41 - 2017-01-07 07:41 - 00000390 _____ C:\Users\Public\README.txt
2017-01-07 07:41 - 2017-01-07 07:41 - 00000390 _____ C:\Users\Public\Downloads\README.txt
2017-01-07 07:41 - 2017-01-07 07:41 - 00000390 _____ C:\Users\postgres\README.txt
2017-01-07 07:41 - 2017-01-07 07:41 - 00000390 _____ C:\Users\postgres\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-07 07:33 - 2017-01-07 07:41 - 00000390 _____ C:\Users\postgres\Documents\README.txt
2017-01-07 07:33 - 2017-01-07 07:33 - 00000390 _____ C:\Users\postgres\Downloads\README.txt
2017-01-07 07:33 - 2017-01-07 07:33 - 00000390 _____ C:\Users\postgres\Desktop\README.txt
2017-01-07 07:33 - 2017-01-07 07:33 - 00000390 _____ C:\Users\postgres\AppData\Roaming\README.txt
2017-01-07 07:33 - 2017-01-07 07:33 - 00000390 _____ C:\Users\postgres\AppData\README.txt
2017-01-07 07:33 - 2017-01-07 07:33 - 00000390 _____ C:\Users\postgres\AppData\LocalLow\README.txt
2017-01-07 07:33 - 2017-01-07 07:33 - 00000390 _____ C:\Users\postgres\AppData\Local\README.txt
2017-01-07 07:33 - 2017-01-07 07:33 - 00000390 _____ C:\Users\MASTER\README.txt
2017-01-07 07:33 - 2017-01-07 07:33 - 00000390 _____ C:\Users\MASTER\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-07 07:21 - 2017-01-07 07:33 - 00000390 _____ C:\Users\MASTER\Documents\README.txt
2017-01-07 07:21 - 2017-01-07 07:21 - 00000390 _____ C:\Users\MASTER\Downloads\README.txt
2017-01-07 07:21 - 2017-01-07 07:21 - 00000390 _____ C:\Users\MASTER\Desktop\README.txt
2017-01-07 07:21 - 2017-01-07 07:21 - 00000390 _____ C:\Users\MASTER\AppData\Roaming\README.txt
2017-01-07 07:21 - 2017-01-07 07:21 - 00000390 _____ C:\Users\MASTER\AppData\README.txt
2017-01-07 07:21 - 2017-01-07 07:21 - 00000390 _____ C:\Users\MASTER\AppData\LocalLow\README.txt
2017-01-07 07:18 - 2017-01-07 07:21 - 00000390 _____ C:\Users\MASTER\AppData\Local\README.txt
2017-01-07 07:18 - 2017-01-07 07:18 - 00000390 _____ C:\Users\IRAM\README.txt
2017-01-07 07:18 - 2017-01-07 07:18 - 00000390 _____ C:\Users\IRAM\Downloads\README.txt
2017-01-07 07:18 - 2017-01-07 07:18 - 00000390 _____ C:\Users\IRAM\Documents\README.txt
2017-01-07 07:18 - 2017-01-07 07:18 - 00000390 _____ C:\Users\IRAM\Desktop\README.txt
2017-01-07 07:18 - 2017-01-07 07:18 - 00000390 _____ C:\Users\IRAM\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-07 07:17 - 2017-01-07 07:17 - 00000390 _____ C:\Users\IRAM\AppData\Roaming\README.txt
2017-01-07 07:17 - 2017-01-07 07:17 - 00000390 _____ C:\Users\IRAM\AppData\README.txt
2017-01-07 07:17 - 2017-01-07 07:17 - 00000390 _____ C:\Users\IRAM\AppData\LocalLow\README.txt
2017-01-07 07:00 - 2017-01-07 07:18 - 00000390 _____ C:\Users\IRAM\AppData\Local\README.txt
2017-01-07 07:00 - 2017-01-07 07:00 - 00000390 _____ C:\Users\IRAM\AppData\Local\Apps\README.txt
2017-01-07 07:00 - 2017-01-07 07:00 - 00000390 _____ C:\Users\GhostUser\README.txt
2017-01-07 07:00 - 2017-01-07 07:00 - 00000390 _____ C:\Users\GhostUser\Downloads\README.txt
2017-01-07 07:00 - 2017-01-07 07:00 - 00000390 _____ C:\Users\GhostUser\Documents\README.txt
2017-01-07 07:00 - 2017-01-07 07:00 - 00000390 _____ C:\Users\GhostUser\Desktop\README.txt
2017-01-07 07:00 - 2017-01-07 07:00 - 00000390 _____ C:\Users\GhostUser\AppData\Roaming\README.txt
2017-01-07 07:00 - 2017-01-07 07:00 - 00000390 _____ C:\Users\GhostUser\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-07 07:00 - 2017-01-07 07:00 - 00000390 _____ C:\Users\GhostUser\AppData\README.txt
2017-01-07 07:00 - 2017-01-07 07:00 - 00000390 _____ C:\Users\GhostUser\AppData\LocalLow\README.txt
2017-01-07 06:59 - 2017-01-07 07:00 - 00000390 _____ C:\Users\GhostUser\AppData\Local\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default\Downloads\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default\Documents\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default\Desktop\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default\AppData\Roaming\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default\AppData\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default\AppData\Local\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default User\Downloads\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default User\Documents\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default User\Desktop\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default User\AppData\Roaming\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default User\AppData\README.txt
2017-01-07 06:59 - 2017-01-07 06:59 - 00000390 _____ C:\Users\Default User\AppData\Local\README.txt
2017-01-07 06:55 - 2017-01-07 07:59 - 00000390 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2017-01-07 06:54 - 2017-01-07 07:59 - 00000390 _____ C:\Users\Public\Documents\README.txt
2017-01-07 06:54 - 2017-01-07 07:59 - 00000390 _____ C:\Users\Public\Desktop\README.txt
2017-01-07 06:48 - 2017-01-07 06:48 - 00000390 _____ C:\Program Files\README.txt
2017-01-07 06:28 - 2017-01-07 06:28 - 00000390 _____ C:\Program Files\Common Files\README.txt
File: 2016-12-14 22:22 - 2016-12-14 22:22 - 00001885 _____ C:\Users\MASTER\AppData\Roaming\48994.exe
2016-12-14 22:22 - 2016-12-14 22:22 - 00001885 _____ C:\Users\MASTER\AppData\Roaming\48994.exe
File: C:\Users\MASTER\Desktop\s.exe
2017-01-07 07:59 - 2011-11-04 05:27 - 00000000 ____D C:\Users\Все пользователи\{D3B41B92-9BC2-43EB-916A-4FA9E8191837}
2017-01-07 07:59 - 2011-11-04 05:27 - 00000000 ____D C:\ProgramData\{D3B41B92-9BC2-43EB-916A-4FA9E8191837}
2017-01-07 06:48 - 2017-01-07 06:48 - 0000390 _____ () C:\Program Files\README.txt
2017-01-07 06:28 - 2017-01-07 06:28 - 0000390 _____ () C:\Program Files\Common Files\README.txt
2016-12-14 22:22 - 2016-12-14 22:22 - 0001885 _____ () C:\Users\MASTER\AppData\Roaming\48994.exe
2017-01-07 07:21 - 2017-01-07 07:21 - 0000390 _____ () C:\Users\MASTER\AppData\Roaming\README.txt
2017-01-07 07:21 - 2017-01-07 07:21 - 0000390 _____ () C:\Users\MASTER\AppData\Roaming\Microsoft\README.txt
2017-01-07 07:18 - 2017-01-07 07:21 - 0000390 _____ () C:\Users\MASTER\AppData\Local\README.txt
2017-01-07 07:59 - 2017-01-07 07:59 - 0000390 _____ () C:\ProgramData\README.txt
C:\Users\IRAM\AppData\Local\Temp\magentsetup.exe
C:\Users\IRAM\AppData\Local\Temp\{4BF9527D-0967-42FF-A691-115AD4D8171E}-47.0.2526.80_46.0.2490.86_chrome_updater_3stage.exe
C:\Users\MASTER\AppData\Local\Temp\autorun.dll
C:\Users\MASTER\AppData\Local\Temp\ginstall.dll
C:\Users\MASTER\AppData\Local\Temp\GoogleToolbarInstaller_stub_signed.exe
C:\Users\MASTER\AppData\Local\Temp\gtbcheck.exe
C:\Users\MASTER\AppData\Local\Temp\pdfiutil.exe
C:\Users\MASTER\AppData\Local\Temp\siinst.exe
C:\Users\MASTER\AppData\Local\Temp\strings.dll
C:\Users\MASTER\AppData\Local\Temp\uninstall.exe
C:\Users\MASTER\AppData\Local\Temp\wrsd.exe
C:\Users\MASTER\AppData\Local\Temp\xmlUpdater.exe
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

После перегрузке на рабочем столе появиться архив вида [B]<дата>_<время>[/B].zip (где [B]<дата>[/B]-текущее дата [B]<время>[/B] - текущее время) загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
13.01.2017, 08:12
Yerdenoff

Вложений: 1

Ниже прикрепил fixlog.txt и загрузил архив карантина
13.01.2017, 12:54
SQ

предоставьте новые логи утилиты FRST.
13.01.2017, 15:14
Yerdenoff

Вложений: 1

[QUOTE=SQ;1426375]предоставьте новые логи утилиты FRST.[/QUOTE]
Приложил логи
13.01.2017, 17:56
SQ

Знаком ли Вам файл?
[CODE]C:\Users\MASTER\Desktop\s.exe - Trojan.Seaduke (Symantec)[/CODE]

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
SearchScopes: HKU\S-1-5-21-453963532-3089772383-555759606-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF
SearchScopes: HKU\S-1-5-21-453963532-3089772383-555759606-1001 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = hxxp://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb
Folder: C:\Users\MASTER\AppData\Roaming\XVFiZFlPUVdZXFViUQxx
2017-01-09 11:29 - 2016-10-13 05:48 - 00000000 __SHD C:\Users\MASTER\AppData\Roaming\XVFiZFlPUVdZXFViUQxx
Folder: C:\ProgramData\truesuite
Folder: C:\Users\MASTER\AppData\Local\egyku
Folder: C:\Users\MASTER\AppData\Local\eliha
2017-01-07 07:17 - 2017-01-07 07:17 - 0000390 _____ () C:\Users\IRAM\AppData\Roaming\Microsoft\README.txt
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
16.01.2017, 12:37
Yerdenoff

Вложений: 1

[QUOTE=SQ;1426442]Знаком ли Вам файл?
[CODE]C:\Users\MASTER\Desktop\s.exe - Trojan.Seaduke (Symantec)[/CODE]

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
SearchScopes: HKU\S-1-5-21-453963532-3089772383-555759606-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF
SearchScopes: HKU\S-1-5-21-453963532-3089772383-555759606-1001 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = hxxp://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb
Folder: C:\Users\MASTER\AppData\Roaming\XVFiZFlPUVdZXFViUQxx
2017-01-09 11:29 - 2016-10-13 05:48 - 00000000 __SHD C:\Users\MASTER\AppData\Roaming\XVFiZFlPUVdZXFViUQxx
Folder: C:\ProgramData\truesuite
Folder: C:\Users\MASTER\AppData\Local\egyku
Folder: C:\Users\MASTER\AppData\Local\eliha
2017-01-07 07:17 - 2017-01-07 07:17 - 0000390 _____ () C:\Users\IRAM\AppData\Roaming\Microsoft\README.txt
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST][/QUOTE]

Этот файл лежит на рабочем столе, даже и не скрывается, не стал его удалять специально, хотя и вызывал подозрение. Приложил fixlog
17.01.2017, 18:49
SQ

[QUOTE=Yerdenoff;1426963]Этот файл лежит на рабочем столе, даже и не скрывается, не стал его удалять специально, хотя и вызывал подозрение. Приложил fixlog[/QUOTE]

Если незнаком то проверьте его на virustotal.com и удалите его.

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
C:\Users\MASTER\AppData\Local\egyku
C:\Users\MASTER\AppData\Local\eliha
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер возможно будет [b]перезагружен[/b].[/LIST]
17.01.2017, 18:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \ajym.exe - [B]Trojan.Win32.Inject.addje[/B][*] \dygam.exe - [B]Trojan.Win32.Inject.adatw[/B][/LIST][/LIST]