Шифровальщик LOCKED почта [email protected]. [Trojan.MSIL.Crypt.hyj, Trojan.Win32.Reconyc.hycw, UDS:DangerousObject.Multi.Generic ]

Зашифровали файлы. Требуют 101 000 руб., покупка биткоинов. Сторговались до 30. Есть ли возможность обойтись без оплаты мошенникам? Никаких гарантий они не дают.

Уважаемый(ая) [B]Татьяна1989[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

C:\ProgramData\Google Updater 2.0\i57ykqgkm35y.exe (файл имеет артибуты "скрытый системный") заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Товаровед\AppData\Roaming\BLD93115RWR\write.exe','');
QuarantineFile('C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','');
QuarantineFile('C:\sistem\1.vbs','');
QuarantineFile('C:\Programm\1.VBS','');
QuarantineFile('C:\PerfLogss\1.vbs','');
QuarantineFile('C:\miner\1.vbs','');
QuarantineFile('C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','');
QuarantineFile('C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sbsvr.exe','');
QuarantineFile('C:\Users\Operator\AppData\Roaming\Wekiyhuqv\ivonmiydko.exe','');
QuarantineFile('C:\ProgramData\Windows\svchost.VBS','');
QuarantineFile('C:\sistemstik\1.vbs','');
QuarantineFile('C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\ScreenToGif\syvvyvxur.exe','');
QuarantineFile('C:\ProgramData\Google Updater 2.0\i57ykqgkm35y.exe','');
DeleteFile('C:\ProgramData\Google Updater 2.0\i57ykqgkm35y.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Google Updater 2.0');
DeleteFile('C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\ScreenToGif\syvvyvxur.exe','32');
DeleteFile('C:\sistemstik\1.vbs','32');
DeleteFile('C:\ProgramData\Windows\svchost.VBS','32');
DeleteFile('C:\Users\Operator\AppData\Roaming\Wekiyhuqv\ivonmiydko.exe','32');
DeleteFile('C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32');
DeleteFile('C:\miner\1.vbs','32');
DeleteFile('C:\PerfLogss\1.vbs','32');
DeleteFile('C:\Programm\1.VBS','32');
DeleteFile('C:\sistem\1.vbs','32');
DeleteFile('C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32');
DeleteFile('C:\Users\Товаровед\AppData\Roaming\BLD93115RWR\write.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\BLD93115RWR','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]

Файлы отправили. i57ykqgkm35y и quarantin

Дочитывайте до конца[quote="thyrex;1448765"][B][COLOR="#FF0000"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B][/quote]

Сделали

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Файл во вложени

Вместо файла c:\quarantine.zip Вы что прислали в карантин? Неужели трудно прочитать внимательно и сделать все, как положено?

[QUOTE=thyrex;1448833]Вместо файла c:\quarantine.zip Вы что прислали в карантин? Неужели трудно прочитать внимательно и сделать все, как положено?[/QUOTE]

Файл с таким именем система не дала загрузить. Писала что он уже прикреплен и отправлен. Его просто переименовали

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Могу только так прикрепить

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Готово

[QUOTE]C:\Users\Operator\Desktop\beta.exe
C:\Users\Товаровед\Desktop\beta.exe[/QUOTE]эти файлы Вам известны?

Файлы из этого списка
[QUOTE]2017-05-08 18:16 - 2017-05-08 18:17 - 7940223 _____ () C:\Users\Operator\AppData\Local\Temp\197asoe1a.exe
2017-05-08 23:59 - 2017-05-08 23:59 - 0677376 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\3k1wak1a15.exe
2017-05-08 17:49 - 2017-05-08 17:50 - 7940236 _____ () C:\Users\Operator\AppData\Local\Temp\735ou937519ewq9.exe
2017-05-08 17:40 - 2017-05-08 17:40 - 0270336 _____ () C:\Users\Operator\AppData\Local\Temp\7s379qyi7w1u55.exe
2017-05-09 13:59 - 2017-05-09 13:59 - 0543232 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\e1ksc7qia51kq.exe
2017-05-09 03:25 - 2017-05-09 03:25 - 0000000 _____ () C:\Users\Operator\AppData\Local\Temp\ies19uccu7.exe
2017-05-09 00:28 - 2017-05-09 00:29 - 7940222 _____ () C:\Users\Operator\AppData\Local\Temp\kmck99e3ismo.exe
2017-05-09 02:58 - 2017-05-09 02:59 - 7940191 _____ () C:\Users\Operator\AppData\Local\Temp\kqiu3scog55.exe
2017-05-09 04:21 - 2017-05-09 04:21 - 0543232 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\qs5s513cu.exe
2017-05-08 23:48 - 2017-05-08 23:48 - 0474624 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\s7kuucuwuek3c9.exe
2017-05-09 15:58 - 2017-05-09 15:59 - 7940224 _____ () C:\Users\Operator\AppData\Local\Temp\u19ae11k7a51os.exe
2017-05-12 02:30 - 2017-05-08 19:31 - 1691648 _____ () C:\Users\Operator\AppData\Local\Temp\wrsd.exe
2017-05-05 02:15 - 2017-05-05 02:15 - 7940221 _____ () C:\Users\Товаровед\AppData\Local\Temp\36212156.exe
2017-05-05 05:32 - 2017-05-05 05:32 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\533cq399.exe
2017-05-09 12:06 - 2017-05-09 12:07 - 7940191 _____ () C:\Users\Товаровед\AppData\Local\Temp\5u1gs9cym5u.exe
2017-05-05 11:52 - 2017-05-05 11:52 - 2186240 _____ () C:\Users\Товаровед\AppData\Local\Temp\BetaBotBuilderGUI.exe
2017-05-05 14:04 - 2017-05-05 14:04 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\e7o351gu53wa1y.exe
2017-05-05 11:52 - 2017-05-05 11:52 - 0790528 _____ () C:\Users\Товаровед\AppData\Local\Temp\install.exe
2017-05-05 11:52 - 2017-05-05 11:52 - 0393240 _____ () C:\Users\Товаровед\AppData\Local\Temp\packer.exe
2017-05-05 05:32 - 2017-05-05 05:32 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\wk3yeka7.exe
2017-05-05 14:04 - 2017-05-05 14:04 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\ymg37y3755ei71y.exe[/QUOTE]заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по ссылке для отправки карантина




1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKU\S-1-5-21-3187572309-3104135280-2793098065-1006\...\CurrentVersion\Windows: [Load] C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\ScreenToGif\syvvyvxur.exe <===== ATTENTION
ShellIconOverlayIdentifiers: [ MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll -> No File
ShellIconOverlayIdentifiers: [ MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll -> No File
ShellIconOverlayIdentifiers: [ MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll -> No File
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Cloud Mail.Ru.lnk [2017-05-09]
ShortcutTarget: Cloud Mail.Ru.lnk -> (No File)
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk [2017-05-09]
ShortcutTarget: explorer.lnk -> (No File)
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hostwarer.lnk [2017-05-09]
ShortcutTarget: hostwarer.lnk -> (No File)
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sisteman.lnk [2017-05-09]
ShortcutTarget: sisteman.lnk -> (No File)
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\susmar.lnk [2017-05-09]
ShortcutTarget: susmar.lnk -> C:\sistemstik\1.VBS ()
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sustemi.lnk [2017-05-09]
ShortcutTarget: sustemi.lnk -> (No File)
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2017-05-11] ()
Startup: C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BTC.lnk [2017-05-07]
ShortcutTarget: BTC.lnk -> C:\miner\1.VBS ()
Startup: C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Micrasofft.lnk [2017-05-07]
ShortcutTarget: Micrasofft.lnk -> C:\PerfLogss\1.vbs (No File)
Startup: C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sistemi.lnk [2017-05-07]
ShortcutTarget: sistemi.lnk -> C:\Programm\1.VBS (No File)
Startup: C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows.lnk [2017-04-24]
ShortcutTarget: Windows.lnk -> C:\sistem\1.vbs (No File)
Startup: C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2017-05-11] ()
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ipmkfpcnmccejididiaagpgchgjfajgp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3187572309-3104135280-2793098065-1006\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
2017-05-11 12:55 - 2017-05-11 12:55 - 01007151 _____ C:\Users\Товаровед\Desktop\Google Updater 2.0.rar
2017-05-09 04:21 - 2017-05-09 04:21 - 00000000 ____D C:\Users\Operator\AppData\Roaming\Ydodycukpa
2017-05-09 04:21 - 2017-05-09 04:21 - 00000000 ____D C:\Users\Operator\AppData\Roaming\Heatnurekoe
2017-05-09 04:21 - 2017-05-09 04:21 - 00000000 ____D C:\Users\Operator\AppData\Roaming\Gousvenym
2017-05-09 02:03 - 2017-05-09 02:03 - 00002044 _____ C:\Users\Товаровед\Instruction for file recovery.txt
2017-05-09 02:03 - 2017-05-09 02:03 - 00002044 _____ C:\Users\Товаровед\Downloads\Instruction for file recovery.txt
2017-05-09 02:03 - 2017-05-09 02:03 - 00002044 _____ C:\Users\Товаровед\Documents\Instruction for file recovery.txt
2017-05-09 02:02 - 2017-05-09 02:02 - 00002044 _____ C:\Users\Товаровед\Desktop\Instruction for file recovery.txt
2017-05-09 02:02 - 2017-05-09 02:02 - 00002044 _____ C:\Users\Все пользователи\Instruction for file recovery.txt
2017-05-09 02:02 - 2017-05-09 02:02 - 00002044 _____ C:\ProgramData\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Администратор\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Администратор\Downloads\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Администратор\Documents\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Администратор\Desktop\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Public\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Public\Downloads\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Public\Documents\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Public\Desktop\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\DefaultAppPool\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\Default\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\cassa\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\cassa\Downloads\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\cassa\Documents\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\cassa\Desktop\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin3\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin3\Downloads\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin3\Documents\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin3\Desktop\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin\Downloads\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin\Documents\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin\Desktop\Instruction for file recovery.txt
2017-05-09 01:53 - 2017-05-09 01:53 - 00002044 _____ C:\Users\Operator\Downloads\Instruction for file recovery.txt
2017-05-09 01:53 - 2017-05-09 01:53 - 00002044 _____ C:\Users\Operator\Documents\Instruction for file recovery.txt
2017-05-09 01:51 - 2017-05-09 02:18 - 00002044 _____ C:\Users\Operator\Instruction for file recovery.txt
2017-05-09 01:51 - 2017-05-09 02:18 - 00002044 _____ C:\Users\Operator\Desktop\Instruction for file recovery.txt
2017-05-09 00:29 - 2017-05-09 01:57 - 00000000 ____D C:\sistema
2017-05-08 17:50 - 2017-05-09 01:55 - 00000000 ____D C:\Microosoft
2017-05-08 17:50 - 2017-05-08 17:50 - 00000000 ____D C:\Users\Operator\AppData\Local\minergate-cli
2017-05-07 15:30 - 2017-05-09 12:07 - 00000000 ____D C:\miner
2017-05-05 05:12 - 2017-05-10 11:10 - 00000000 __SHD C:\Users\Все пользователи\Google Updater 2.0
2017-05-05 05:12 - 2017-05-10 11:10 - 00000000 __SHD C:\ProgramData\Google Updater 2.0
2017-05-08 18:16 - 2017-05-08 18:17 - 7940223 _____ () C:\Users\Operator\AppData\Local\Temp\197asoe1a.exe
2017-05-08 23:59 - 2017-05-08 23:59 - 0677376 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\3k1wak1a15.exe
2017-05-08 17:49 - 2017-05-08 17:50 - 7940236 _____ () C:\Users\Operator\AppData\Local\Temp\735ou937519ewq9.exe
2017-05-08 17:40 - 2017-05-08 17:40 - 0270336 _____ () C:\Users\Operator\AppData\Local\Temp\7s379qyi7w1u55.exe
2017-05-09 13:59 - 2017-05-09 13:59 - 0543232 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\e1ksc7qia51kq.exe
2017-05-09 03:25 - 2017-05-09 03:25 - 0000000 _____ () C:\Users\Operator\AppData\Local\Temp\ies19uccu7.exe
2017-05-09 00:28 - 2017-05-09 00:29 - 7940222 _____ () C:\Users\Operator\AppData\Local\Temp\kmck99e3ismo.exe
2017-05-09 02:58 - 2017-05-09 02:59 - 7940191 _____ () C:\Users\Operator\AppData\Local\Temp\kqiu3scog55.exe
2017-05-09 04:21 - 2017-05-09 04:21 - 0543232 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\qs5s513cu.exe
2017-05-08 23:48 - 2017-05-08 23:48 - 0474624 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\s7kuucuwuek3c9.exe
2017-05-09 15:58 - 2017-05-09 15:59 - 7940224 _____ () C:\Users\Operator\AppData\Local\Temp\u19ae11k7a51os.exe
2017-05-12 02:30 - 2017-05-08 19:31 - 1691648 _____ () C:\Users\Operator\AppData\Local\Temp\wrsd.exe
2017-05-05 02:15 - 2017-05-05 02:15 - 7940221 _____ () C:\Users\Товаровед\AppData\Local\Temp\36212156.exe
2017-05-05 05:32 - 2017-05-05 05:32 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\533cq399.exe
2017-05-09 12:06 - 2017-05-09 12:07 - 7940191 _____ () C:\Users\Товаровед\AppData\Local\Temp\5u1gs9cym5u.exe
2017-05-05 11:52 - 2017-05-05 11:52 - 2186240 _____ () C:\Users\Товаровед\AppData\Local\Temp\BetaBotBuilderGUI.exe
2017-05-05 14:04 - 2017-05-05 14:04 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\e7o351gu53wa1y.exe
2017-05-05 11:52 - 2017-05-05 11:52 - 0790528 _____ () C:\Users\Товаровед\AppData\Local\Temp\install.exe
2017-05-05 11:52 - 2017-05-05 11:52 - 0393240 _____ () C:\Users\Товаровед\AppData\Local\Temp\packer.exe
2017-05-05 05:32 - 2017-05-05 05:32 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\wk3yeka7.exe
2017-05-05 14:04 - 2017-05-05 14:04 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\ymg37y3755ei71y.exe
CustomCLSID: HKU\S-1-5-21-3187572309-3104135280-2793098065-1006_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3187572309-3104135280-2793098065-1006_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3187572309-3104135280-2793098065-1006_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3187572309-3104135280-2793098065-1006_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll => No File
Task: {4DAE12E8-1F97-4BFA-81E0-36F27C3111E3} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {5718BB18-E788-422B-8307-ABC620394AEF} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {675343B5-A7D8-4D63-8AA6-2735B95EF3F7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {6BB3F8C9-6667-40FB-986D-4E167CD47703} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {6BFCDA47-ED09-4831-A7B0-612C7DFB77F9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {6D4F2C73-7E74-4073-B7D3-65CDFBDEA284} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {762FD15B-2877-4AD5-A8C6-7EB88CE54476} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {7B1CA9AF-E940-44DA-8E99-0E96C5CACFD4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {9E8278D4-C1D1-44A0-9D1C-90862076CDD0} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {A9B2B3AD-64A3-45C9-BBF6-1046FA109F01} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {AF14C44B-B081-4981-8BA7-C9D6203DEA02} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {B49192B9-4E62-4499-B73F-A34042CD4CF5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {E2F24698-A37F-416D-B3DB-18438075193C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {EE7F9937-915D-4F54-8AFD-33D7EDFAC3C4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]

готово

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

И файла не известны C:\Users\Operator\Desktop\beta.exe
C:\Users\Товаровед\Desktop\beta.exe

[quote="Татьяна1989;1448940"]C:\Users\Operator\Desktop\beta.exe
C:\Users\Товаровед\Desktop\beta.exe[/quote]тогда и их пришлите

В карантин отправила

Прикрепите в архиве к следующему сообщению пример зашифрованного файла и его незашифрованной копии. Размер зашифрованного файла чуть больше (приблизительно на 20-40 байт)

Не уверена что эти файлы то что вам надо. Посмотрите пожалуйста.

[QUOTE=thyrex;1448976]Прикрепите в архиве к следующему сообщению пример зашифрованного файла и его незашифрованной копии. Размер зашифрованного файла чуть больше (приблизительно на 20-40 байт)[/QUOTE]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

просто не осталось не зашифрованных файлов вовсе. Либо я вас не правильно понимаю.

Это только зашифрованные файлы.

Обычно при установке Windows на компьютер записываются и образцы стандартных файлов с изображениями (папка Образцы рисунков или что-то подобное). Нужно найти незашифрованные оригиналы на компьютере с подобной системой и прислать их вместе с примером шифрованного файла с Вашего компьютера

[QUOTE=thyrex;1449017]Это только зашифрованные файлы.

Обычно при установке Windows на компьютер записываются и образцы стандартных файлов с изображениями (папка Образцы рисунков или что-то подобное). Нужно найти незашифрованные оригиналы на компьютере с подобной системой и прислать их вместе с примером шифрованного файла с Вашего компьютера[/QUOTE]


Что можно сделать если этих файлов нет?

Увы, без них оригиналов файлов расшифровка невозможна. Я же сказал - ищите компьютер с системой, подобной Вашей, и ищите оригиналы

Нашли вроде. Только они по размеру одинаковые. Такое может быть?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Можно еще эти попробовать