Уважаемая команда Virus Info. Прошу вас помочь расшифровать файлы на ПК.
Уважаемая команда Virus Info. Прошу вас помочь расшифровать файлы на ПК.
Уважаемый(ая) [B]KOJIXO3AH[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows.old\Users\user\AppData\Roaming\willarchive\viewmerik.exe','');
DeleteService('TS888');
DeleteService('QMUdisk');
QuarantineFile('c:\windows\temp\nsyc7ca.tmp\ns6ee8.tmp','');
TerminateProcessByName('c:\users\Рустам\appdata\local\amigo\application\47.5.2526.111\amigo_cr.exe');
TerminateProcessByName('c:\users\Рустам\appdata\local\amigo\application\amigo.exe');
DeleteFile('c:\users\Рустам\appdata\local\amigo\application\amigo.exe','32');
DeleteFile('c:\users\Рустам\appdata\local\amigo\application\47.5.2526.111\amigo_cr.exe','32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.6.15950.224\QMUdisk.sys','32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.6.15950.224\TS888.sys','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
DeleteFile('C:\Windows.old\Users\user\AppData\Roaming\willarchive\viewmerik.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/url]
[B][COLOR="Red"]Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи[/COLOR][/B]
все сделал
Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Готово
Образцы шифрованных файлов пришлите
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.oursurfing.com/?type=hppp&ts=1430326756&z=d470b81e5ac49aae2fe29e6g0z0c8eec7c1efcdwao&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1430326730&z=6e6791d81f4f7d0107b6a23gbzac5ecc2cfefcao7q&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hppp&ts=1430326756&z=d470b81e5ac49aae2fe29e6g0z0c8eec7c1efcdwao&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1430326730&z=6e6791d81f4f7d0107b6a23gbzac5ecc2cfefcao7q&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7&q={searchTerms}
HKU\S-1-5-21-119037799-1907128212-1611914379-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=dspp&ts=1430326756&z=d470b81e5ac49aae2fe29e6g0z0c8eec7c1efcdwao&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7&q={searchTerms}
HKU\S-1-5-21-119037799-1907128212-1611914379-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hppp&ts=1430326756&z=d470b81e5ac49aae2fe29e6g0z0c8eec7c1efcdwao&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7
HKU\S-1-5-21-119037799-1907128212-1611914379-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=dspp&ts=1430326756&z=d470b81e5ac49aae2fe29e6g0z0c8eec7c1efcdwao&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1430326730&z=6e6791d81f4f7d0107b6a23gbzac5ecc2cfefcao7q&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1430326730&z=6e6791d81f4f7d0107b6a23gbzac5ecc2cfefcao7q&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7&q={searchTerms}
SearchScopes: HKU\S-1-5-21-119037799-1907128212-1611914379-1000 -> 9CCDAD890A70279BA199BE173BD24F11 URL = hxxp://www.oursurfing.com/web/?type=dspp&ts=1430326756&z=d470b81e5ac49aae2fe29e6g0z0c8eec7c1efcdwao&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7&q={searchTerms}
SearchScopes: HKU\S-1-5-21-119037799-1907128212-1611914379-1000 -> 9F2040113AAF11A91E5761CC40AE1F90 URL = hxxp://do-search.com/web/?type=ds&ts=1428564761&from=cor&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7&q={searchTerms}
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll => No File
BHO: Digital More -> {c0b1016f-b7e5-46f0-b415-6bf9e55ab00d} -> C:\Program Files\Digital More\Extensions\c0b1016f-b7e5-46f0-b415-6bf9e55ab00d.dll [2015-04-09] ()
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1430326730&z=6e6791d81f4f7d0107b6a23gbzac5ecc2cfefcao7q&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7
FF Extension: No Name - C:\Users\Рустам\AppData\Roaming\Mozilla\Firefox\Profiles\o488377v.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF Extension: No Name - C:\Users\Рустам\AppData\Roaming\Mozilla\Firefox\Profiles\o488377v.default\extensions\[email protected] [not found]
CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hppp&ts=1430326756&z=d470b81e5ac49aae2fe29e6g0z0c8eec7c1efcdwao&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7"
CHR DefaultSearchURL: Default -> hxxp://www.oursurfing.com/web/?type=dspp&ts=1430326756&z=d470b81e5ac49aae2fe29e6g0z0c8eec7c1efcdwao&from=cmi&uid=ST9320325AS_6VDAK5T7XXXX6VDAK5T7&q={searchTerms}
CHR DefaultSearchKeyword: Default -> oursurfing
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fidibeiehaokohhbnkdjmkcapgnndfkc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jkagakiplhpgacmegfblcddbckenmiio] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [kjlpdpfmpoggibmjgmbaoidffidifakh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (SuperMegaBest.com) - C:\Users\Рустам\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2016-06-10]
2016-06-10 14:16 - 2015-07-31 11:23 - 00000000 ____D C:\Users\Рустам\AppData\Local\Amigo
2016-06-10 14:16 - 2015-04-29 20:59 - 00000000 ____D C:\Users\Все пользователи\IHProtectUpDate
2016-06-10 14:16 - 2015-04-29 20:59 - 00000000 ____D C:\ProgramData\IHProtectUpDate
2016-06-10 14:16 - 2015-04-09 11:45 - 00000000 ____D C:\Users\Все пользователи\17de52c200003bd2
2016-06-10 14:16 - 2015-04-09 11:45 - 00000000 ____D C:\ProgramData\17de52c200003bd2
2016-06-10 14:16 - 2015-04-04 12:50 - 00000000 ____D C:\Users\Все пользователи\TXQMPC
2016-06-10 14:16 - 2015-04-04 12:50 - 00000000 ____D C:\ProgramData\TXQMPC
2016-06-10 14:16 - 2015-04-04 12:31 - 00000000 ____D C:\Users\Все пользователи\Tencent
2016-06-10 14:16 - 2015-04-04 12:31 - 00000000 ____D C:\ProgramData\Tencent
C:\Users\Рустам\AppData\Local\Temp\3be5-10e8-4933-6918.exe
C:\Users\Рустам\AppData\Local\Temp\amigo_setup.exe
C:\Users\Рустам\AppData\Local\Temp\iobitdownloader_installcube.exe
C:\Users\Рустам\AppData\Local\Temp\lite_installer.exe
C:\Users\Рустам\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Рустам\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Рустам\AppData\Local\Temp\ObnoviSoft.exe
C:\Users\Рустам\AppData\Local\Temp\PCMgr_AndroidServer.exe
C:\Users\Рустам\AppData\Local\Temp\qqpcmgr_v10.6.15950.224_71624_Silence.exe
C:\Users\Рустам\AppData\Local\Temp\qweee.exe
C:\Users\Рустам\AppData\Local\Temp\utt3B9D.tmp.exe
C:\Users\Рустам\AppData\Local\Temp\utt3CA8.tmp.exe
C:\Users\Рустам\AppData\Local\Temp\utt43C8.tmp.exe
C:\Users\Рустам\AppData\Local\Temp\uttB0E.tmp.exe
C:\Users\Рустам\AppData\Local\Temp\uttC9D9.tmp.exe
C:\Users\Рустам\AppData\Local\Temp\uttEEA5.tmp.exe
C:\Users\Рустам\AppData\Local\Temp\{066A37DB-5CB6-42F5-B776-3B9F115E94F5}.dll
C:\Users\Рустам\AppData\Local\Temp\{0C7A50E5-EAA5-4039-A266-E26D2A894CA0}.dll
C:\Users\Рустам\AppData\Local\Temp\{1576E7A5-0730-4D7D-9727-FBD3B8D6DC09}.dll
C:\Users\Рустам\AppData\Local\Temp\{172140CD-FED5-46C3-94D7-58A7A9FBA861}.dll
C:\Users\Рустам\AppData\Local\Temp\{185DB1A9-0494-4828-87B1-74728E3B78F4}.dll
C:\Users\Рустам\AppData\Local\Temp\{19F01ACE-5BCF-4618-A275-80A350F8E646}.dll
C:\Users\Рустам\AppData\Local\Temp\{1A0E1923-F951-43B3-9D61-1263CE9923A9}.dll
C:\Users\Рустам\AppData\Local\Temp\{1E6901E1-A836-4506-867C-D031E394E80B}.dll
C:\Users\Рустам\AppData\Local\Temp\{244AF6F6-AD0D-4895-9E66-C8C1C79BE466}.dll
C:\Users\Рустам\AppData\Local\Temp\{2611DF25-C2EF-4795-A21B-1BEF4FDA01D7}.dll
C:\Users\Рустам\AppData\Local\Temp\{2A35F0A1-255D-4DF5-954B-7180D118409A}.dll
C:\Users\Рустам\AppData\Local\Temp\{2AD5722F-36F5-42BC-88CB-B7BFB95E7D0E}.dll
C:\Users\Рустам\AppData\Local\Temp\{2B96F306-B151-4C29-8715-A3AF17E5B558}.dll
C:\Users\Рустам\AppData\Local\Temp\{2C1DF6DF-AFFC-4002-9068-B9718FB26DEB}.dll
C:\Users\Рустам\AppData\Local\Temp\{2CFC5606-825E-4BD9-BA20-02CA95A5A92D}.dll
C:\Users\Рустам\AppData\Local\Temp\{2EEA3DE8-51D9-4AD3-B196-86A8F62B4BAE}.dll
C:\Users\Рустам\AppData\Local\Temp\{30BAFB0E-C533-4647-BBB2-40268642AE28}.dll
C:\Users\Рустам\AppData\Local\Temp\{356A086C-CE32-446E-8B73-C9F101DAF5C4}.dll
C:\Users\Рустам\AppData\Local\Temp\{3670E562-A7E6-4EFB-9810-3A12AFB29483}.dll
C:\Users\Рустам\AppData\Local\Temp\{390A9E91-C268-4E05-A33C-6466B2CEE7E3}.dll
C:\Users\Рустам\AppData\Local\Temp\{39D0894C-626A-466F-9BE3-88F5DFF024EB}.dll
C:\Users\Рустам\AppData\Local\Temp\{3CDB9C25-104F-4DE3-8FCC-42E2F9336D26}.dll
C:\Users\Рустам\AppData\Local\Temp\{3D0EDF8D-0FA0-4724-AC7C-6C3D049BC706}.dll
C:\Users\Рустам\AppData\Local\Temp\{41F187B7-D51A-4065-8C88-A78119EF9942}.dll
C:\Users\Рустам\AppData\Local\Temp\{4321F1B2-0821-42CF-9E44-24E0272FEA88}.dll
C:\Users\Рустам\AppData\Local\Temp\{460CBCD0-07A7-4ADA-9488-F229B9BA891F}.dll
C:\Users\Рустам\AppData\Local\Temp\{4611208D-49E6-4B1C-A533-6394D73D415C}.dll
C:\Users\Рустам\AppData\Local\Temp\{49886717-D5C6-4F23-BD5B-FE359DC63777}.dll
C:\Users\Рустам\AppData\Local\Temp\{5089E819-1221-4BD2-8DEB-6FFAC80C0590}.dll
C:\Users\Рустам\AppData\Local\Temp\{5317A758-88E2-443B-B6EC-37286E354082}.dll
C:\Users\Рустам\AppData\Local\Temp\{53798A59-0908-4A8C-B1B6-8C8391917AE8}.dll
C:\Users\Рустам\AppData\Local\Temp\{56DB2D46-8E90-4700-A2E4-788E10084069}.dll
C:\Users\Рустам\AppData\Local\Temp\{56EC5BCC-1C4F-4CD1-A291-2D25FE9F219A}.dll
C:\Users\Рустам\AppData\Local\Temp\{59753B8A-5961-4FAF-9AFC-18FD50846508}.dll
C:\Users\Рустам\AppData\Local\Temp\{5A48DDE8-8B18-4EA7-A582-6453196F7169}.dll
C:\Users\Рустам\AppData\Local\Temp\{5C2DE134-9F64-41BA-BDFB-871FEF3AA16C}.dll
C:\Users\Рустам\AppData\Local\Temp\{5C394D92-AE66-4A7A-8FAF-17ED518C5270}.dll
C:\Users\Рустам\AppData\Local\Temp\{5ED7262E-A7AE-4716-ACA1-05C6B389D146}.dll
C:\Users\Рустам\AppData\Local\Temp\{639FC72C-4F57-47EE-B1EB-E8B5AAD56346}.dll
C:\Users\Рустам\AppData\Local\Temp\{63AAF003-D2C3-45B6-BD64-6AFEDA512D7B}.dll
C:\Users\Рустам\AppData\Local\Temp\{6448DDA2-528D-4EFC-8E0E-FAEAEB532106}.dll
C:\Users\Рустам\AppData\Local\Temp\{6B1C408E-0C56-406F-A0C0-8D59D6E9C453}.dll
C:\Users\Рустам\AppData\Local\Temp\{6BA4557B-CDED-4F3A-BAC8-97A3F15E147B}.dll
C:\Users\Рустам\AppData\Local\Temp\{79093EA2-88EC-4537-BF3B-5EE791147750}.dll
C:\Users\Рустам\AppData\Local\Temp\{7B60303E-B7F1-4261-B0B5-8C4AC05C7ACC}.dll
C:\Users\Рустам\AppData\Local\Temp\{7DD33C6F-A403-490F-BFC7-C6908A0C46E1}.dll
C:\Users\Рустам\AppData\Local\Temp\{7EE75276-3891-46A3-B3F2-7F96A47588AC}.dll
C:\Users\Рустам\AppData\Local\Temp\{82CBEBD6-706F-4E86-8233-872E19E067B6}.dll
C:\Users\Рустам\AppData\Local\Temp\{83DF5BAB-2F99-482D-ADE8-172EC84C430E}.dll
C:\Users\Рустам\AppData\Local\Temp\{84C04E66-DC1A-4D61-8F6E-D48BAAE32581}.dll
C:\Users\Рустам\AppData\Local\Temp\{86B9E450-0C98-488C-8E2A-8E95C5C40A77}.dll
C:\Users\Рустам\AppData\Local\Temp\{87B693B8-DB33-4A52-B9F8-99673267F756}.dll
C:\Users\Рустам\AppData\Local\Temp\{90025DC9-5CA9-4BEB-841B-DCB42DC16C68}.dll
C:\Users\Рустам\AppData\Local\Temp\{903003F9-E624-49F3-AD56-52E746DD4C08}.dll
C:\Users\Рустам\AppData\Local\Temp\{94817CFD-A22D-4DCC-8F66-B8C739C0F570}.dll
C:\Users\Рустам\AppData\Local\Temp\{966A70BF-6476-46B4-A148-44EF83E88054}.dll
C:\Users\Рустам\AppData\Local\Temp\{98B6544F-7FED-4FEC-8A44-6035117FABA0}.dll
C:\Users\Рустам\AppData\Local\Temp\{A0E10A4E-A5C3-4DF9-87EB-60C69739E441}.dll
C:\Users\Рустам\AppData\Local\Temp\{A6939363-92C9-409A-804F-F21149B578F0}.dll
C:\Users\Рустам\AppData\Local\Temp\{A6D2DA5E-45A0-4D3A-ACE0-659C48BFFBA7}.dll
C:\Users\Рустам\AppData\Local\Temp\{AABEE169-5227-482F-9B31-F3B00BB55B3D}.dll
C:\Users\Рустам\AppData\Local\Temp\{B0858B14-FF4D-4330-A19A-64CC640DC1F6}.dll
C:\Users\Рустам\AppData\Local\Temp\{B14CFE11-ED92-4F31-975F-7F1488EB34A4}.dll
C:\Users\Рустам\AppData\Local\Temp\{B3EC1103-F86F-4E26-B405-0A66E3966372}.dll
C:\Users\Рустам\AppData\Local\Temp\{B5EF4C94-D441-4825-AB84-368D2F8DC4F9}.dll
C:\Users\Рустам\AppData\Local\Temp\{B87E3F97-1E2A-4508-B223-2F020317A4C3}.dll
C:\Users\Рустам\AppData\Local\Temp\{C3BEA9F0-F14D-4BF0-9812-F6AEFD396A47}.dll
C:\Users\Рустам\AppData\Local\Temp\{CD3668DC-F6B9-44EB-A47C-DA0755EA7720}.dll
C:\Users\Рустам\AppData\Local\Temp\{CE1E50D0-A239-4A2F-AF61-9CDFF76B97EA}.dll
C:\Users\Рустам\AppData\Local\Temp\{CEC66D79-17DF-49D0-8C5F-38F1D728DF07}.dll
C:\Users\Рустам\AppData\Local\Temp\{D51787B5-5B47-4780-87E7-A5215AD9AED9}.dll
C:\Users\Рустам\AppData\Local\Temp\{D66479A8-4FA6-42C3-BD52-83638C1D9E2D}.dll
C:\Users\Рустам\AppData\Local\Temp\{D85D45BF-BC69-4554-B5CF-72FB9449120E}.dll
C:\Users\Рустам\AppData\Local\Temp\{D973BBDA-5369-4F84-8A60-C55AF02B29BF}.dll
C:\Users\Рустам\AppData\Local\Temp\{E0D03957-A3D9-4CE0-96A2-1CE98ECEB963}.dll
C:\Users\Рустам\AppData\Local\Temp\{E3C6F0A7-520F-4FA5-BE7D-526CED1FA4F4}.dll
C:\Users\Рустам\AppData\Local\Temp\{E7031357-339F-4DF8-9B14-026F5A3D4E3F}.dll
C:\Users\Рустам\AppData\Local\Temp\{EBCDD072-FADD-4056-95BD-FD7158783A92}.dll
C:\Users\Рустам\AppData\Local\Temp\{EC41512D-53F6-4CFD-BEAF-E00322095152}.dll
C:\Users\Рустам\AppData\Local\Temp\{F55AC1FD-6FA9-4CDA-A0D2-4BB817E52C9C}.dll
C:\Users\Рустам\AppData\Local\Temp\{F8BE4851-651B-4196-B843-785E7C80AE3B}.dll
C:\Users\Рустам\AppData\Local\Temp\{FA78B567-BD93-472F-81E5-E84E07FA5378}.dll
C:\Users\Рустам\AppData\Local\Temp\{FCD6237B-66D8-4982-B09E-071172CC0642}.dll
C:\Users\Рустам\AppData\Local\Temp\{FF4298FD-B351-473D-B000-3F8D3AF2C051}.dll
C:\Users\Рустам\AppData\Local\Temp\{FFD835DD-4DFC-4519-AD3B-0277FCA50775}.dll
C:\Users\Рустам\AppData\Local\Temp\TempQMSystemSetup_10.6.15950.224_1349621710.exe
C:\Users\Рустам\Desktop\Амиго.Музыка.lnk
C:\Users\Рустам\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk
C:\Users\Рустам\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk
C:\Users\Рустам\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.Музыка.lnk
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
Сделано!
Разницу между "образцы" и "образец" видите? Хотя бы по паре шифрованных файлов каждого типа пришлите
Сделал.
Что запускали перед появлением шифрованных файлов?
Сын сказал, что просто качал музыку. Если надо, могу его спросить с ремнем )
Битие не всегда определяет сознание )))
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
сделал.
Удалите в МВАМ все найденное
Готово
Без тела шифратора сказать что-то нереально
а где взять тело? )
Видимо там же, где[quote="KOJIXO3AH;1386706"]Сын сказал, что просто качал музыку[/quote]
Не удивлюсь, если музыка скачалась в exe-формате
я так понимаю можно смело все удалять?