Вирус шифровальщик - Уведомление о начале судебного разбирательства

**Kuzmich701** · 03.07.2015, 15:21

Судебные приставы [email protected]
Дата: 23 июня 2015 г., 3:55:48 GMT+3
Тема: Уведомление о начале судебного разбирательства
Кому: .............
Уведомление о начале судебного разбирательства

Уведомление о начале судебного разбирательства
Здравствуйте,
Поскольку Ваша финансовая задолженность не была урегулирована в добровольном порядке, новый кредитор вынужден прибегнуть к принудительным мерам взыскания, предусмотренным законодательством Российской Федерации: направлению выездных групп по адресу регистрации, судебному разбирательству, инициированию исполнительного производства до полного погашения задолженности. Напоминаем Вам, что в случае Вашего неучастия в процессе, решение суда может быть вынесено заочно, что может повлечь за собой принудительное исполнение решения суда. Всю информацию о ходе предварительного судебного производства и сроках рассмотрения, включая копию искового заявления, Вы можете получить перейдя по ссылке находящейся в конце этого письма.

[удалено] - ЗАГРУЗИТЬ ИНФОРМАЦИЮ

Это сообщение создано автоматической системой и не требует ответа.

Пришло письмо жена открыла итог - все зашифрованно. Пример зашифрованных файлов - https://yadi.sk/d/t5LJR0c8he8ie

сейчас жесткий диск с защифрованными файлами лежит на полке (может быть подключен как внешний). в ноутбук поставлен другой жесткий диск и на него система.

Логи

hijackThis - https://yadi.sk/i/T2WiKYSyheciA
virusinfo_syscheck - https://yadi.sk/i/T2WiKYSyheciA

Скрыть

Какие мои дальнейшие действия необходимы для сбора данных о шифровальщике?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.07.2015, 15:22

Уважаемый(ая) Kuzmich701, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 03.07.2015, 15:33

http://virusinfo.info/pravila.html

**Kuzmich701** · 03.07.2015, 18:49

Судебные приставы [email protected]
Дата: 23 июня 2015 г., 3:55:48 GMT+3
Тема: Уведомление о начале судебного разбирательства
Кому: .............
Уведомление о начале судебного разбирательства

Уведомление о начале судебного разбирательства
Здравствуйте,
Поскольку Ваша финансовая задолженность не была урегулирована в добровольном порядке, новый кредитор вынужден прибегнуть к принудительным мерам взыскания, предусмотренным законодательством Российской Федерации: направлению выездных групп по адресу регистрации, судебному разбирательству, инициированию исполнительного производства до полного погашения задолженности. Напоминаем Вам, что в случае Вашего неучастия в процессе, решение суда может быть вынесено заочно, что может повлечь за собой принудительное исполнение решения суда. Всю информацию о ходе предварительного судебного производства и сроках рассмотрения, включая копию искового заявления, Вы можете получить перейдя по ссылке находящейся в конце этого письма.

[удалено] - ЗАГРУЗИТЬ ИНФОРМАЦИЮ

Это сообщение создано автоматической системой и не требует ответа.

Пришло письмо жена открыла итог - все зашифрованно. Пример зашифрованных файлов - https://yadi.sk/d/t5LJR0c8he8ie

сейчас жесткий диск с защифрованными файлами лежит на полке (может быть подключен как внешний). в ноутбук поставлен другой жесткий диск и на него система.

**mike 1** · 04.07.2015, 01:41

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**mike 1** · 05.07.2015, 21:04

Ну и какие логи с зараженной системы?

**Kuzmich701** · 06.07.2015, 11:08

Вот эти:

**mike 1** · 06.07.2015, 12:25

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKLM-x32\...\Run: [Schedule] => "C:\ProgramData\Schedule\timetasks.exe"
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\browsemngr.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browsermngr.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe
IFEO\cltmngsvc.exe: [Debugger] tasklist.exe
IFEO\delta babylon.exe: [Debugger] tasklist.exe
IFEO\delta tb.exe: [Debugger] tasklist.exe
IFEO\delta2.exe: [Debugger] tasklist.exe
IFEO\deltainstaller.exe: [Debugger] tasklist.exe
IFEO\deltasetup.exe: [Debugger] tasklist.exe
IFEO\deltatb.exe: [Debugger] tasklist.exe
IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe
IFEO\iminentsetup.exe: [Debugger] tasklist.exe
IFEO\rjatydimofu.exe: [Debugger] tasklist.exe
IFEO\sweetimsetup.exe: [Debugger] tasklist.exe
IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\kbrowser-updater-utility.lnk [2015-01-19]
ShortcutTarget: kbrowser-updater-utility.lnk -> C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe ()
Startup: C:\Users\ПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sаfеbrоwsеr.lnk [2015-01-21]
ShortcutTarget: Sаfеbrоwsеr.lnk -> C:\Users\ПК\AppData\Local\Microsoft\Extensions\safebrowser.bat ()
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-841154472-1624863493-3203141929-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419479035&from=wpm12233&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419479035&from=wpm12233&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1412166769&from=exp&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1412166769&from=exp&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419479035&from=wpm12233&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419479035&from=wpm12233&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412166769&from=exp&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1412166769&from=exp&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&q={searchTerms}
HKU\S-1-5-21-841154472-1624863493-3203141929-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419479035&from=wpm12233&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617
HKU\S-1-5-21-841154472-1624863493-3203141929-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=amt&utm_campaign=rg&utm_content=ds&from=amt&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&ts=1383941900&type=default&q={searchTerms}
HKU\S-1-5-21-841154472-1624863493-3203141929-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=amt&utm_campaign=rg&utm_content=ds&from=amt&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&ts=1383941900&type=default&q={searchTerms}
HKU\S-1-5-21-841154472-1624863493-3203141929-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1412166769&from=exp&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&q={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1412166769&from=exp&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=362&systemid=406&v=n9396-122&apn_uid=5341845881224345&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1412166769&from=exp&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=AARTDF&pc=MAAR&src=IE-SearchBox
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1412166769&from=exp&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&q={searchTerms}
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=362&systemid=406&v=n9396-122&apn_uid=5341845881224345&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
SearchScopes: HKLM-x32 -> {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = 
SearchScopes: HKU\S-1-5-21-841154472-1624863493-3203141929-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://yandex.ru/yandsearch?win=166&clid=2011392&text={searchTerms}
SearchScopes: HKU\S-1-5-21-841154472-1624863493-3203141929-1000 -> 0D10E13F9EA9FEF9674A42FFD2A5F654 URL = http://istart.webssearches.com/web/?type=ds&ts=1412166769&from=exp&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&q={searchTerms}
SearchScopes: HKU\S-1-5-21-841154472-1624863493-3203141929-1000 -> 491A4D3247A36BAEE522D47F4284B325 URL = http://search.delta-homes.com/web/?type=ds&ts=1419479035&from=wpm12233&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&q={searchTerms}
SearchScopes: HKU\S-1-5-21-841154472-1624863493-3203141929-1000 -> D8DE2E088DC9AA01AC7D22D8C2285511 URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=amt&utm_campaign=rg&utm_content=ds&from=amt&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&ts=1383941900&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-841154472-1624863493-3203141929-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = http://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-841154472-1624863493-3203141929-1000 -> {7826CCE1-D5C0-4A7E-8DD4-A726B49AA327} URL = http://nova.rambler.ru/search?query={searchTerms}&utm_source=r33&utm_medium=distribution&utm_content=e09&utm_campaign=4w11
SearchScopes: HKU\S-1-5-21-841154472-1624863493-3203141929-1000 -> {959989A2-52C6-4099-B163-C997B676A3B4} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1700389
SearchScopes: HKU\S-1-5-21-841154472-1624863493-3203141929-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=362&systemid=406&v=n9396-122&apn_uid=5341845881224345&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-841154472-1624863493-3203141929-1000 -> {B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD} URL = http://eu.ask.com/web?l=dis&o=APN10234&gct=sb&qsrc=2869&apn_dtid=^YYYYYY^YY^RU&apn_ptnrs=^A8B&apn_uid=4029591182144241&p2=^A8B^YYYYYY^YY^RU&q={searchTerms}
BHO: Torrent Search -> {05EB6920-D8AD-4350-BEF1-4F7107F70431} -> C:\Program Files (x86)\Torrent Search\Toolbar64.dll No File
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll No File
BHO: ClickCaption -> {A18EA34C-6D33-4298-8A54-7F16499904C0} -> C:\Program Files\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll No File
BHO-x32: No Name -> {02478D38-C3F9-4efb-9B51-7695ECA05670} ->  No File
BHO-x32: Torrent Search -> {05EB6920-D8AD-4350-BEF1-4F7107F70431} -> C:\Program Files (x86)\Torrent Search\Toolbar32.dll No File
BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll No File
BHO-x32: AVdowloads -> {36F7560A-C9D2-4427-BF5D-805A48C55783} -> C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll No File
BHO-x32: AVdowloads -> {84C9B457-C48F-46CC-90C0-5A310C64108A} -> C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=amt&utm_campaign=rg&utm_content=sc&from=amt&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617&ts=1383941900
FF Extension: Desktopy - C:\Users\ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2013-11-08]
FF Extension: DealPly  Shopping - C:\Users\ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{e53a26f5-7199-4a5b-86f5-d2e86854b979} [2013-11-08]
FF Extension: Site Navigation - C:\Users\ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24782}.xpi [2014-10-01]
FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\ПК\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
FF Extension: SuperMegaBest.com - C:\Users\ПК\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-01-23]
CHR HKLM-x32\...\Chrome\Extension: [eebjmjfemfljppbbmficnbigjoiajfff] - C:\Program Files (x86)\Аудио и видео скачивание\avdownloader-sk.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nmghlnjjldbehnfaejmbpophglopclgn] - C:\Program Files (x86)\Аудио и видео скачивание\avdownloader-sk.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - https://clients2.google.com/service/update2/crx
OPR Extension: (CinemaLoad) - C:\Users\ПК\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-08-03]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\ПК\AppData\Roaming\Opera Software\Opera Stable\Extensions\fnbdnhhicmebfgdgglcdacdapkcihcoh [2015-02-20]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\ПК\AppData\Roaming\Opera Software\Opera Stable\Extensions\gmbgaklkmjakoegficnlkhebmhkjfich [2015-02-10]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\ПК\AppData\Roaming\Opera Software\Opera Stable\Extensions\kejbdjndbnbjgmefkgdddjlbokphdefk [2015-02-05]
OPR Extension: (No Name) - C:\Users\ПК\AppData\Roaming\Opera Software\Opera Stable\Extensions\nmieajomdnmlbmppoagkldjfhkjiijmh [2014-02-17]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\ПК\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-08-03]
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.delta-homes.com/?type=sc&ts=1419479035&from=wpm12233&uid=WDCXWD3200BEVT-22A23T0_WD-WXJ1A11K4617K4617
S2 dealplylive; C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe /svc [X]
S3 dealplylivem; C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe /medsvc [X]
S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X]
S2 serverca; C:\Users\ПК\AppData\Local\ConvertAd\CASrv.exe [X]
S2 Update Adanak; "C:\Program Files (x86)\Adanak\updateAdanak.exe" [X]
S2 Update SmarterPower; "C:\Program Files (x86)\SmarterPower\updateSmarterPower.exe" [X]
S2 Util Adanak; "C:\Program Files (x86)\Adanak\bin\utilAdanak.exe" [X]
R1 {2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64; C:\Windows\System32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64.sys [48824 2014-10-01] (StdLib)
R1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw64; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys [61080 2014-09-10] (StdLib)
S1 ccnfd_1_10_0_2; system32\drivers\ccnfd_1_10_0_2.sys [X]
2015-07-03 14:22 - 2013-11-08 23:19 - 00000000 ____D C:\Program Files (x86)\DealPly
2014-08-03 23:53 - 2014-08-03 23:53 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-06-24 00:54 - 2015-06-24 00:54 - 0156286 _____ () C:\Program Files (x86)\desk.jpg
2015-06-24 00:54 - 2015-06-24 00:54 - 0156286 _____ () C:\Program Files (x86)\desk1.bmp
2015-06-23 13:50 - 2015-06-24 00:54 - 0000081 _____ () C:\Program Files (x86)\QJYWXQUUZA.LRW
2012-10-12 18:54 - 2012-10-12 18:54 - 0000228 _____ () C:\Users\ПК\AppData\Roaming\del.bat
2015-01-21 02:05 - 2015-02-20 02:05 - 0000000 _____ () C:\Users\ПК\AppData\Roaming\smw_inst
2013-11-09 13:33 - 2013-11-09 13:33 - 0000001 _____ () C:\Users\ПК\AppData\Local\smwdgt.log
2015-01-19 20:13 - 2015-01-19 20:13 - 0628496 _____ (CMI Limited) C:\Users\ПК\AppData\Local\nse4FEF.tmp
Task: {00636ED7-97D2-42D0-A427-B66E776CA73C} - System32\Tasks\DealPlyLiveUpdateTaskMachineUA => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe <==== ATTENTION
Task: {016A75D9-5201-4AF7-9A4A-AE20F7147130} - \SystemScript No Task File <==== ATTENTION
Task: {15B24ADF-8678-465B-9043-307016BD956B} - System32\Tasks\DealPlyUpdate => C:\Program <==== ATTENTION
Task: {1E020825-33A8-497C-882A-8F2420205C93} - System32\Tasks\Digital Sites => C:\Users\90C5~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {478F6510-F1EB-459D-A7D8-EEBB20722988} - System32\Tasks\DealPlyLiveUpdateTaskMachineCore => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe <==== ATTENTION
Task: {70CE63C0-6DA2-4BCB-A7E1-51B52BD3F745} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {74A18F3C-D1AC-40AE-9234-04C5D5C36100} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {E3239FEC-E823-4A9D-B2EB-36D077FF7654} - \newSI_4396 No Task File <==== ATTENTION
Task: {F1CC1BF3-84CA-4F07-B710-A19BD072E14E} - System32\Tasks\newSI_2149 => C:\Users\ПК\AppData\Roaming\newSI_2149\s_inst.exe
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe <==== ATTENTION
Task: C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe <==== ATTENTION
Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\90C5~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\Windows\Tasks\newSI_2149.job => C:\Users\\AppData\Roaming\newSI_2149\s_inst.exe
Task: C:\Windows\Tasks\newSI_4396.job => C:\Users\\AppData\Roaming\newSI_4396\s_inst.exe

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите Check Browsers LNK.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
Прикрепите этот отчет в вашей теме.

**Kuzmich701** · 06.07.2015, 14:44

К сожалению винда на зараженном хдд приказала долго жить, есть какие то варианты дальнейшего развития событий?
Подсоединил зараженный хдд к ругому компу.
Заменил пути в фикс листе с диска C: на диск F: (зараженный диск) прикладываю фикслог. Пока стою на паузе жду дальнейших указаний.

Вирус шифровальщик - Уведомление о начале судебного разбирательства (заявка № 186518)

Опции темы