Внимание..... файлы зашифрованы. [Trojan-Downloader.Win32.Stantinko.ov, Trojan.MSIL.Agent.aahql ]

**Царев Валерий** · 23.03.2015, 18:15

Здравствуйте!Проблема открылась как-то вдруг : комп был долгое время включен,открыт яндекс,почта mail.ru.Появилось сообщение об обновлении Doctor Web и необходимость перезагрузки.Перезагрузил.сразу появилась на черном экране надпись "Внимание файлы на всех дисках вашего компьютера были зашифрованы.Подробности вы можете прочитать в файлах REAMED.txt. которые можно найти на любом из дисков." Все файлы (word.jpeg.mp3 и др.) кроме программных были зашифраваны.Банера с телефоном об оплате за расшифровку нет.Клавиатура и мышь не заблокированы.При входе в безопасный режим одни каракули вместо букв.
Зашел на сайт.Скачал AVZ и HijackThis. Подскажите что дальше

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.03.2015, 18:17

Уважаемый(ая) Царев Валерий, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Царев Валерий** · 23.03.2015, 18:38

Подскажите как вложить логи в заявку

**thyrex** · 23.03.2015, 20:41

Кнопка Расширенный режим

**Царев Валерий** · 24.03.2015, 14:54

Логи вложил. Дальнейшие мои действия...

**thyrex** · 26.03.2015, 00:08

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\DealPly\DealPlyUpdate.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','');
 DelBHO('{FB4F6285-4C32-49F2-950F-A5998F9CEC6C}');
 DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}');
 QuarantineFile('C:\Program Files\Baidu\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll','');
 DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
 QuarantineFile('C:\Program Files\IQIYI Video\Common\Accelerator\IEHelper.dll','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Internet Explorer\Extensions\APIHelper.dll','');
 QuarantineFile('C:\windows\System32\wlanmgr.dll','');
 QuarantineFile('C:\windows\System32\ir16_32.dll','');
 QuarantineFile('C:\windows\System32\d3dadapter.dll','');
 QuarantineFile('C:\windows\System32\KBDMAI.dll','');
 QuarantineFile('C:\launcher.bat','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\firefox.bat','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows\toolbar.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Installer\url4.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Browsers\exe.xoferif.bat','');
 DeleteService('KDHacker');
 DeleteService('kisnetm');
 DeleteService('ksapi');
 DeleteService('bd0002');
 DeleteService('bd0001');
 SetServiceStart('minidoke', 4);
 DeleteService('minidoke');
 QuarantineFile('C:\Program Files\IGS\BasementDuster.exe','');
 QuarantineFile('C:\Program Files\XTab\ProtectService.exe','');
 DeleteService('kxescore');
 DeleteService('IHProtect Service');
 DeleteService('BDMRTP');
 DeleteService('BDKVRTP');
 DeleteService('BasementDuster');
 TerminateProcessByName('c:\documents and settings\Администратор\application data\03000200-1426304853-0500-0006-000700080009\jnsu6f.tmp');
 QuarantineFile('c:\documents and settings\Администратор\application data\03000200-1426304853-0500-0006-000700080009\jnsu6f.tmp','');
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 DeleteFile('c:\documents and settings\Администратор\application data\03000200-1426304853-0500-0006-000700080009\jnsu6f.tmp','32');
 DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe','32');
 DeleteFile('C:\Program Files\XTab\ProtectService.exe','32');
 DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\BaiduAnSvc.exe','32');
 DeleteFile('C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe','32');
 DeleteFile('C:\Program Files\IGS\BasementDuster.exe','32');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\03000200-1426304853-0500-0006-000700080009\jnsu6F.tmp','32');
 DeleteFile('C:\windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\kxescan\kdhacker.sys','32');
 DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\ksnetm\kisnetmxp.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\ksapi.sys','32');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Browsers\exe.xoferif.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Installer\url4.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\url4.exe','command');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows\toolbar.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');
 DeleteFile('C:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduSdTray');
 DeleteFile('C:\firefox.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\launcher.bat','32');
 DeleteFile('C:\windows\System32\d3dadapter.dll','32');
 DeleteFile('C:\windows\System32\KBDMAI.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\kbdmai\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\d3dadapter\Parameters','ServiceDll');
 DeleteFile('C:\windows\System32\ir16_32.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ir16_32\Parameters','ServiceDll');
 DeleteFile('C:\windows\System32\wlanmgr.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wlanmgr\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kxesc');
 DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe','32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Internet Explorer\Extensions\APIHelper.dll','32');
 DeleteFile('C:\Program Files\IQIYI Video\Common\Accelerator\IEHelper.dll','32');
 DeleteFile('C:\Program Files\Baidu\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\windows\Tasks\At1.job','32');
 DeleteFile('C:\windows\Tasks\DealPlyUpdate.job','32');
 DeleteFile('C:\DOCUME~1\9335~1\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Program Files\DealPly\DealPlyUpdate.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи по правилам

**Царев Валерий** · 26.03.2015, 08:37

Выполнен скрипт в AVZ
Запрошенный карантин загружен

**thyrex** · 26.03.2015, 11:51

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Царев Валерий** · 26.03.2015, 12:38

Выполнено

**thyrex** · 26.03.2015, 14:15

Расширение Adblock какой версии установлено в Опера и Хроме?

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1426363352&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1426363352&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1426363352&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1426363352&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&q={searchTerms}
HKU\S-1-5-21-1078081533-1644491937-1801674531-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=SKY2&ocid=SKY2DHP&osmkt=ru-ru
HKU\S-1-5-21-1078081533-1644491937-1801674531-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=8ef9577c3434e860de8eca3ec0504073&text={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1426363352&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1426363352&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1644491937-1801674531-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&ts=1426363801&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1644491937-1801674531-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&ts=1426363801&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1644491937-1801674531-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&ts=1426363801&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1644491937-1801674531-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&ts=1426363801&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1644491937-1801674531-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&ts=1426363801&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1644491937-1801674531-500 -> {A0D3787B-AAA0-4CF7-9E92-CBE101348E84} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&ts=1426363801&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1644491937-1801674531-500 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&ts=1426363801&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1644491937-1801674531-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&ts=1426363801&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-1644491937-1801674531-500 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706&ts=1426363801&type=default&q={searchTerms}
BHO: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {7473B6BD-4691-4744-A82B-7854EB3D70B6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1078081533-1644491937-1801674531-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1078081533-1644491937-1801674531-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1426305989&from=face&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706
FF SelectedSearchEngine: istartsurf
FF Plugin: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files\Baidu\BaiduSd\3.0.0.4605\explugin\npBaiduSDDetectPlug.dll No File
FF Plugin: @iqiyi.com/npclient -> C:\Program Files\IQIYI Video\LStyle\npclient.dll No File
FF Plugin: @iqiyi.com/npWebPlayer -> C:\Program Files\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin: @kingsfot.com/npkws -> c:\program files\kingsoft\kingsoft antivirus\npkws.dll No File
FF Plugin HKU\S-1-5-21-1078081533-1644491937-1801674531-500: @iqiyi.com/npWebPlayer -> C:\Program Files\IQIYI Video\LStyle\npWebPlayer.dll No Fi
FF Extension: No Name - C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\2rmtgzdx.default-1421644486156\Extensions\1426306008_xpi [2015-03-14]
FF Extension: No Name - C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\2rmtgzdx.default-1421644486156\Extensions\1426363369_xpi [2015-03-15]
StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1426363352&from=cmi&uid=WDCXWD1600JS-00MHB0_WD-WCANM393470634706
CHR HKLM\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files\DealPly\DealPly.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value
CHR HKU\S-1-5-21-1078081533-1644491937-1801674531-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Documents and Settings\Администратор\Local Settings\Application Data\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [Not Found]
CHR HKU\S-1-5-21-1078081533-1644491937-1801674531-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files\DealPly\DealPly.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Documents and Settings\Администратор\Local Settings\Application Data\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [Not Found]
CHR Extension: (No Name) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda [2012-10-07]
OPR StartupUrls: "hxxp://infaaworld.ru/go.php", "hxxp://infaaworld.ru/go.php"
OPR Extension: (APIHelper) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-01-22]
R1 bd0003; C:\windows\System32\DRIVERS\bd0003.sys [56904 2014-11-06] (Baidu)
R2 BDArKit; C:\windows\System32\DRIVERS\BDArKit.sys [145224 2014-12-25] (Baidu Technology)
R1 BDEnhanceBoost; C:\WINDOWS\system32\drivers\BDEnhanceBoost.sys [62280 2014-11-15] (Baidu)
R1 BDFileDefend; C:\windows\System32\DRIVERS\BDFileDefend.sys [26824 2014-11-06] (Baidu)
R2 BDMNetMon; C:\windows\System32\DRIVERS\BDMNetMon.sys [95048 2014-06-19] (Baidu)
R1 BDMWrench; C:\windows\System32\DRIVERS\BDMWrench.sys [229712 2014-12-02] (Baidu)
R1 BdSandBox; C:\windows\System32\DRIVERS\BdSandBox.sys [139784 2014-11-06] (Baidu)
2015-03-08 11:19 - 2014-11-15 10:55 - 00000000 ____D () C:\Documents and Settings\Администратор\Application Data\Baidu
2015-03-08 11:19 - 2014-11-15 10:52 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\Baidu
2015-03-06 16:26 - 2014-11-22 08:28 - 00611284 _____ () C:\windows\system32\ir16_32.dat
2015-03-08 11:21 - 2014-11-06 11:38 - 00139784 _____ (Baidu) C:\windows\system32\Drivers\BdSandBox.sys
2015-03-08 11:21 - 2014-11-06 11:38 - 00056904 _____ (Baidu) C:\windows\system32\Drivers\bd0003.sys
2015-03-08 11:21 - 2014-11-06 11:38 - 00026824 _____ (Baidu) C:\windows\system32\Drivers\BDFileDefend.sys
2015-03-08 11:20 - 2015-03-08 11:20 - 00000000 __SHD () C:\KRECYCLE
2015-03-08 11:19 - 2015-03-08 11:31 - 00065536 _____ () C:\windows\system32\config\KAVEventLog.EVT
2015-03-08 11:19 - 2015-03-08 11:20 - 00000000 ____D () C:\Documents and Settings\Администратор\Application Data\Kingsoft
2015-03-08 11:19 - 2015-03-08 11:19 - 00225080 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\kisknl64.sys
2015-03-08 11:19 - 2015-03-08 11:19 - 00212792 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\kisknl.sys
2015-03-08 11:19 - 2015-03-08 11:19 - 00171832 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\kdhacker64.sys
2015-03-08 11:19 - 2015-03-08 11:19 - 00114488 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\kisnetmxp.sys
2015-03-08 11:19 - 2015-03-08 11:19 - 00112952 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\kisnetm.sys
2015-03-08 11:19 - 2015-03-08 11:19 - 00106808 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\kisnetm64.sys
2015-03-08 11:19 - 2015-03-08 11:19 - 00055656 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\ksapi64.sys
2015-03-08 11:19 - 2015-03-08 11:19 - 00019352 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\ksskrpr.sys
2015-03-08 11:19 - 2015-03-08 11:19 - 00018296 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\kusbquery64.sys
2015-03-08 11:19 - 2015-03-08 11:19 - 00014200 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\kusbquery.sys
2015-03-08 11:19 - 2015-03-08 11:19 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\Kingsoft
2015-03-08 11:19 - 2015-03-08 11:18 - 00127800 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\kdhacker.sys
2015-03-08 11:18 - 2015-03-08 11:18 - 00031848 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\kavbootc64.sys
2015-03-08 11:18 - 2015-03-08 11:18 - 00028520 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\kavbootc.sys
2015-03-08 11:18 - 2015-03-08 11:18 - 00024472 _____ (Kingsoft Corporation) C:\windows\system32\Drivers\bc.sys
2015-03-14 07:46 - 2015-03-14 07:46 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\QiYi
2015-03-14 07:45 - 2015-03-14 07:45 - 00001143 ___RS () C:\Documents and Settings\All Users\Главное меню\Программы\Мozillа Firefoх.lnk
2015-03-14 07:44 - 2015-03-14 07:45 - 00000000 ____D () C:\Documents and Settings\Администратор\Application Data\Browsers
2015-03-14 07:44 - 2015-03-14 07:44 - 00000976 ___RS () C:\Documents and Settings\Администратор\Рабочий стол\Intеrnet Ехрlоrеr.lnk
2015-03-14 08:10 - 2015-03-14 08:10 - 00613255 _____ (CMI Limited) C:\Documents and Settings\Администратор\Local Settings\Application Data\nsq91.tmp
2015-03-14 08:10 - 2015-03-14 08:10 - 00000000 __SHD () C:\Documents and Settings\Администратор\Application Data\AnyProtectEx
2015-03-14 08:10 - 2015-03-14 08:10 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\IHProtectUpDate
2015-03-14 08:07 - 2015-03-23 14:04 - 00000000 ____D () C:\Documents and Settings\LocalService\Application Data\BasementDuster
2015-03-14 08:07 - 2015-03-14 08:09 - 00008752 _____ () C:\windows\system32\BasementDusterOff.ini
2015-03-14 08:07 - 2015-03-14 08:07 - 00000000 ____D () C:\Documents and Settings\Администратор\Application Data\BasementDuster
2015-03-14 08:06 - 2015-03-14 08:06 - 00000000 ____D () C:\Documents and Settings\Администратор\Application Data\istartsurf
2015-03-14 07:48 - 2015-03-14 07:48 - 00000057 _____ () C:\windows\PPStream.ini
2015-03-14 07:47 - 2015-03-26 07:26 - 00000000 ____D () C:\Documents and Settings\Администратор\Application Data\03000200-1426304853-0500-0006-000700080009
2015-03-14 07:47 - 2015-03-14 07:47 - 00000000 ____D () C:\Documents and Settings\Администратор\Application Data\VOPackage
2015-03-14 07:46 - 2015-03-14 07:48 - 00000000 ____D () C:\Documents and Settings\Администратор\Application Data\IQIYI Video
2015-03-15 00:23 - 2015-03-15 00:22 - 00613255 _____ (CMI Limited) C:\Documents and Settings\Администратор\Local Settings\Application Data\nsd89.tmp
C:\Documents and Settings\Администратор\an.bat
C:\Documents and Settings\Администратор\sd.bat
C:\Windows\Tasks\At2.job
CustomCLSID: HKU\S-1-5-21-1078081533-1644491937-1801674531-500_Classes\CLSID\{5EC7C511-CD0F-42E6-830C-1BD9882F3458}\InprocServer32 -> C:\Program Files\IQIYI Video\LStyle\npWebPlayer.dll No File
CustomCLSID: HKU\S-1-5-21-1078081533-1644491937-1801674531-500_Classes\CLSID\{61CED8F3-2CB2-4C3C-9484-7530E1127A58}\InprocServer32 -> C:\Program Files\IQIYI Video\LStyle\npWebPlayer.dll No File
CustomCLSID: HKU\S-1-5-21-1078081533-1644491937-1801674531-500_Classes\CLSID\{D96C1D26-5CDF-4506-9244-57233C3984DF}\InprocServer32 -> C:\Program Files\IQIYI Video\LStyle\npWebPlayer.dll No File
CustomCLSID: HKU\S-1-5-21-1078081533-1644491937-1801674531-500_Classes\CLSID\{F3D0D36F-23F8-4682-A195-74C92B03D4AF-NOT}\InprocServer32 -> C:\Program Files\IQIYI Video\LStyle\npWebPlayer.dll No File
Task: C:\windows\Tasks\At2.job => C:\DOCUME~1\9335~1\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Царев Валерий** · 26.03.2015, 15:37

Выполнено

**thyrex** · 26.03.2015, 20:23

Сообщение от thyrex

Расширение Adblock какой версии установлено в Опера и Хроме?

Это я у себя спрашивал что ли?

**Царев Валерий** · 26.03.2015, 20:41

Если Опера и Хроме - браузеры то они у меня не установлены,а если программы как их найти и опр-ть версию Adblock

**thyrex** · 26.03.2015, 20:52

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
OPR Extension: (AdBlock) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-01-17]
CHR Extension: (No Name) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-01-17]
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Царев Валерий** · 26.03.2015, 21:14

Выполнено

**thyrex** · 26.03.2015, 22:18

Мусор основательно почистили.

С расшифровкой не поможем.

**CyberHelper** · 26.03.2015, 22:28

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 41
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\администратор\local settings\application data\microsoft\windows\toolbar.exe - Trojan.MSIL.Agent.aahql ( AVAST4: Win32:Malware-gen )
2. c:\windows\system32\ir16_32.dll - Trojan-Downloader.Win32.Stantinko.ov ( AVAST4: Win32:Agent-AVLF [Trj] )

Внимание..... файлы зашифрованы. [Trojan-Downloader.Win32.Stantinko.ov, Trojan.MSIL.Agent.aahql ] (заявка № 180308)

Опции темы

Внимание..... файлы зашифрованы. [Trojan-Downloader.Win32.Stantinko.ov, Trojan.MSIL.Agent.aahql ]

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Это понравилось:

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

внимание,все файлы зашифрованы...

Внимание! Все Ваши файлы зашифрованы!

Внимание! Все Ваши файлы зашифрованы!

Внимание! Все Ваши файлы зашифрованы!

Ваши права в разделе