Принесли клиентский ПК. Шифровальщик угробил целый семейный фото альбом.
Есть ли возможность восстановить?
Ссылка на несколько зашифрованных файлов.
https://drive.google.com/folderview?...lE&usp=sharing
Принесли клиентский ПК. Шифровальщик угробил целый семейный фото альбом.
Есть ли возможность восстановить?
Ссылка на несколько зашифрованных файлов.
https://drive.google.com/folderview?...lE&usp=sharing
Уважаемый(ая) iam_flasher, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\xtab\suptab.dll',''); QuarantineFile('C:\Program Files\xtab\protectservice.exe',''); QuarantineFile('C:\Program Files\xtab\iewatchdog.dll',''); QuarantineFile('C:\Program Files\xtab\hpnotify.exe',''); QuarantineFile('C:\Program Files\xtab\browerwatchff.dll',''); QuarantineFile('C:\Program Files\xtab\browerwatchch.dll',''); QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll',''); QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll',''); QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\npglobalupdateupdate4.dll',''); QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll',''); QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll',''); QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\globalupdateondemand.exe',''); QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\globalupdatebroker.exe',''); QuarantineFile('C:\Users\Лера\AppData\Roaming\oursurfing\UninstallManager.exe',''); QuarantineFile('C:\Program Files\Pay-By-Ads\Yahoo! Search\1.4.2.5\..\updt.js',''); QuarantineFile('C:\Users\D9AB~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe',''); QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-7.exe',''); QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-6.exe',''); QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-5.exe',''); QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-4.exe',''); QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-11.exe',''); QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-7.exe',''); QuarantineFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-6.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-3.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-11.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-10.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-7.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-5.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-4.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-3.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-11.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-10.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-7.exe',''); QuarantineFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.exe',''); DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}'); QuarantineFile('C:\Program Files\XTab\SupTab.dll',''); QuarantineFile('C:\Windows\System32\KBDMAI.dll',''); QuarantineFile('C:\Windows\System32\d3dadapter.dll',''); QuarantineFile('C:\Users\Лера\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe',''); QuarantineFile('C:\Users\Лера\AppData\Local\Kometa\kometaup.exe',''); SetServiceStart('Update Edu App', 4); SetServiceStart('Util Edu App', 4); SetServiceStart('{42f8f729-2fa8-44bb-b01a-28c57a8162c7}Gw', 4); SetServiceStart('{ab573ef7-acd0-4715-a5c0-420d2ee2cd93}Gw', 4); DeleteService('{42f8f729-2fa8-44bb-b01a-28c57a8162c7}Gw'); DeleteService('{ab573ef7-acd0-4715-a5c0-420d2ee2cd93}Gw'); DeleteService('Update Edu App'); DeleteService('Util Edu App'); DeleteService('fuwykory'); DeleteService('globalUpdate'); DeleteService('globalUpdatem'); DeleteService('IHProtect Service'); DeleteService('IhPul'); DeleteService('PicexaService'); DeleteService('ReimageRealTimeProtector'); DeleteService('SSFK'); DeleteService('vupuligo'); DeleteService('WdsManPro'); DeleteService('winzipersvc'); QuarantineFile('C:\Program Files\WinZipper\winzipersvc.exe',''); QuarantineFile('C:\ProgramData\3WMiniPro3\WMiniPro.exe',''); QuarantineFile('C:\Users\Лера\AppData\Roaming\03000200-1433289265-0500-0006-000700080009\nst8B66.tmpfs',''); QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe',''); QuarantineFile('C:\Program Files\Picexa\PicexaSvc.exe',''); QuarantineFile('C:\Users\Лера\AppData\Roaming\TSv\TSvr.exe',''); QuarantineFile('C:\Program Files\XTab\ProtectService.exe',''); QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe',''); QuarantineFile('C:\Users\Лера\AppData\Local\03000200-1433246260-0500-0006-000700080009\snsk6E9C.tmp',''); QuarantineFile('C:\Windows\system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw.sys',''); QuarantineFile('C:\Windows\system32\drivers\{ab573ef7-acd0-4715-a5c0-420d2ee2cd93}Gw.sys',''); QuarantineFile('C:\Windows\system32\drivers\{42f8f729-2fa8-44bb-b01a-28c57a8162c7}Gw.sys',''); TerminateProcessByName('c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.exe'); TerminateProcessByName('c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.exe'); TerminateProcessByName('c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe'); TerminateProcessByName('c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrsetup.exe'); TerminateProcessByName('c:\program files\edu app\bin\eduapp.browseradapter.exe'); TerminateProcessByName('c:\program files\edu app\bin\eduapp.expext.exe'); TerminateProcessByName('c:\program files\edu app\bin\eduapp.purbrowse.exe'); TerminateProcessByName('c:\program files\sfk\ssfk.exe'); TerminateProcessByName('c:\program files\edu app\bin\utileduapp.exe'); QuarantineFile('c:\program files\edu app\updateeduapp.exe',''); QuarantineFile('c:\program files\sfk\ssfk.exe',''); QuarantineFile('c:\program files\edu app\bin\eduapp.purbrowse.exe',''); QuarantineFile('c:\program files\edu app\bin\eduapp.expext.exe',''); QuarantineFile('c:\program files\edu app\bin\eduapp.browseradapter.exe',''); QuarantineFile('c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrsetup.exe',''); QuarantineFile('c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.exe',''); QuarantineFile('c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.exe',''); QuarantineFile('c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe',''); DeleteFile('c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe','32'); DeleteFile('c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.exe','32'); DeleteFile('c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.exe','32'); DeleteFile('c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrsetup.exe','32'); DeleteFile('c:\program files\edu app\bin\eduapp.browseradapter.exe','32'); DeleteFile('c:\program files\edu app\bin\eduapp.expext.exe','32'); DeleteFile('c:\program files\edu app\bin\eduapp.purbrowse.exe','32'); DeleteFile('c:\program files\sfk\ssfk.exe','32'); DeleteFile('c:\program files\edu app\updateeduapp.exe','32'); DeleteFile('C:\Windows\system32\drivers\{42f8f729-2fa8-44bb-b01a-28c57a8162c7}Gw.sys','32'); DeleteFile('C:\Windows\system32\drivers\{ab573ef7-acd0-4715-a5c0-420d2ee2cd93}Gw.sys','32'); DeleteFile('C:\Windows\system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw.sys','32'); DeleteFile('C:\Users\Лера\AppData\Local\03000200-1433246260-0500-0006-000700080009\snsk6E9C.tmp','32'); DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','32'); DeleteFile('C:\Program Files\XTab\ProtectService.exe','32'); DeleteFile('C:\Users\Лера\AppData\Roaming\TSv\TSvr.exe','32'); DeleteFile('C:\Program Files\Picexa\PicexaSvc.exe','32'); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32'); DeleteFile('C:\Users\Лера\AppData\Roaming\03000200-1433289265-0500-0006-000700080009\nst8B66.tmpfs','32'); DeleteFile('C:\ProgramData\3WMiniPro3\WMiniPro.exe','32'); DeleteFile('C:\Program Files\WinZipper\winzipersvc.exe','32'); DeleteFile('C:\Users\Лера\AppData\Local\Kometa\kometaup.exe','32'); DeleteFile('C:\Users\Лера\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yahoo! Search'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaLaunchPanel'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup'); DeleteFile('C:\Windows\System32\d3dadapter.dll','32'); DeleteFile('C:\Windows\System32\KBDMAI.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\d3dadapter\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\kbdmai\Parameters','ServiceDll'); DeleteFile('C:\Program Files\XTab\SupTab.dll','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-7.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-10.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-11.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-3.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-4.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-5.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-7.exe','32'); DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-7.job','32'); DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.job','32'); DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-5_user.job','32'); DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-5.job','32'); DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-4.job','32'); DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-3.job','32'); DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-11.job','32'); DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-10_user.job','32'); DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-7.job','32'); DeleteFile('C:\Windows\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.job','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-10.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-11.exe','32'); DeleteFile('C:\Program Files\CinemaPlus-4.5vV28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-3.exe','32'); DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-6.exe','32'); DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-7.exe','32'); DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-11.exe','32'); DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-4.exe','32'); DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-5.exe','32'); DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-6.exe','32'); DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-6.job','32'); DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-5_user.job','32'); DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-5.job','32'); DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-4.job','32'); DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-11.job','32'); DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-7.job','32'); DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-6.job','32'); DeleteFile('C:\Windows\Tasks\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-3.job','32'); DeleteFile('C:\Windows\Tasks\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-11.job','32'); DeleteFile('C:\Windows\Tasks\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-10_user.job','32'); DeleteFile('C:\Program Files\Shop and Save Up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-7.exe','32'); DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-7.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32'); DeleteFile('C:\Windows\Tasks\SwZfMj0lpXNW25FUvlZZbS3WJ.job','32'); DeleteFile('C:\Windows\Tasks\wsL6mQWOF7EQru.job','32'); DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6','32'); DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-7','32'); DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-11','32'); DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-3','32'); DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-4','32'); DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-5','32'); DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6','32'); DeleteFile('C:\Windows\system32\Tasks\364b28f9-a4cd-4b0e-8b50-0c53240695c1-7','32'); DeleteFile('C:\Windows\system32\Tasks\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-11','32'); DeleteFile('C:\Windows\system32\Tasks\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-3','32'); DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-6','32'); DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-7','32'); DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-11','32'); DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-4','32'); DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-5','32'); DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-6','32'); DeleteFile('C:\Windows\system32\Tasks\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-7','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32'); DeleteFile('C:\Windows\system32\Tasks\DealPly','32'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32'); DeleteFile('C:\Users\D9AB~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Program Files\Pay-By-Ads\Yahoo! Search\1.4.2.5\..\updt.js','32'); DeleteFile('C:\Users\Лера\AppData\Roaming\oursurfing\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Reimage Reminder','32'); DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','32'); DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Updater','32'); DeleteFile('C:\Windows\system32\Tasks\{315500D1-AD8D-4353-892A-2ADEB8BFE9DA}','32'); DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\globalupdatebroker.exe','32'); DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\globalupdateondemand.exe','32'); DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll','32'); DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll','32'); DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\npglobalupdateupdate4.dll','32'); DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll','32'); DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll','32'); DeleteFile('C:\Program Files\xtab\browerwatchch.dll','32'); DeleteFile('C:\Program Files\xtab\browerwatchff.dll','32'); DeleteFile('C:\Program Files\xtab\hpnotify.exe','32'); DeleteFile('C:\Program Files\xtab\iewatchdog.dll','32'); DeleteFile('C:\Program Files\xtab\protectservice.exe','32'); DeleteFile('C:\Program Files\xtab\suptab.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скрипты выполнил, логи во вложении
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово
Удалите в МВАМ все найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово!
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: Task: {01FF4FB6-3558-404A-A84D-4D8A6D415B0F} - \{5F18651A-45FA-45D3-B2A7-795C054753B2} -> No File <==== ATTENTION Task: {08EF5508-1898-4AC0-BE0B-EB2B46DF8228} - System32\Tasks\Ball Style => Rundll32.exe "C:\Users\Лера\AppData\Local\Ball Style\xBin\BallStyle.dll",#3 <==== ATTENTION Task: {60C1EFB8-8947-49F1-8858-D098BD1B5A42} - \ReimageUpdater -> No File <==== ATTENTION Task: {67CA6CDC-1792-4924-8C69-60A3020EE012} - \Reimage Reminder -> No File <==== ATTENTION Task: {6CC7D8E1-7A00-4FB4-8AD9-A55C942611D6} - \{315500D1-AD8D-4353-892A-2ADEB8BFE9DA} -> No File <==== ATTENTION Task: {6E2CF633-145F-480B-A167-E1E16F5C4E4E} - \DealPly -> No File <==== ATTENTION Task: {7533194D-340C-4BD4-9425-F59F7049D12C} - \Yahoo! Search Updater -> No File <==== ATTENTION AlternateDataStreams: C:\Users\Лера\Local Settings:wa AlternateDataStreams: C:\Users\Лера\AppData\Local:wa AlternateDataStreams: C:\Users\Лера\AppData\Local\Application Data:wa GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File BHO: No Name -> {EF7BD87A-8024-11E2-F316-F3E56188709B} -> No File Toolbar: HKLM - No Name - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - No File Toolbar: HKU\S-1-5-21-3059736404-2367197363-3117671072-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-3059736404-2367197363-3117671072-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-3059736404-2367197363-3117671072-1001 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-3059736404-2367197363-3117671072-1001 -> No Name - {8DEC4B69-27C4-405D-A37D-8D45C83F66AB} - No File FF SearchEngineOrder.1: Ask.com FF Plugin: @java.com/DTPlugin,version=11.25.2 -> C:\Program Files\Java\jre1.8.0_25\bin\dtplugin\npDeployJava1.dll [No File] FF Plugin: @java.com/JavaPlugin,version=11.25.2 -> C:\Program Files\Java\jre1.8.0_25\bin\plugin2\npjp2.dll [No File] FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Extension: The Safe Surfing - C:\Users\Лера\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2015-09-12] [not signed] FF Extension: Info Enhancer for Firefox - C:\Users\Лера\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2013-11-14] [not signed] FF Extension: Desktopy - C:\Users\Лера\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97}.xpi [2014-12-09] [not signed] 2015-08-26 21:11 - 2015-08-26 21:42 - 00000000 ____D C:\rei 2015-08-26 21:11 - 2015-08-26 21:12 - 00000000 ____D C:\Users\Все пользователи\Reimage Protector 2015-08-26 21:11 - 2015-08-26 21:12 - 00000000 ____D C:\ProgramData\Reimage Protector 2015-08-26 21:11 - 2015-08-26 21:11 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair 2015-08-26 21:11 - 2015-08-26 21:11 - 00000000 ____D C:\Program Files\Reimage 2015-08-26 21:10 - 2015-08-26 21:42 - 00000120 _____ C:\Windows\Reimage.ini 2015-04-19 00:20 - 2015-04-19 00:20 - 0005872 _____ () C:\Users\Лера\AppData\Roaming\SwZfMj0lpXNW25FUvlZZbS3WJ 2015-04-14 04:28 - 2015-04-14 04:28 - 0004387 _____ () C:\Users\Лера\AppData\Roaming\wsL6mQWOF7EQru Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 171
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-10.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa
- c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-11.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.yv1@kaJiykfO )
- c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-6.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.sz1@kex5eWgi )
- c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-1-7.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.9u1@kyxAxcgO )
- c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-3.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.yv1@kaJiykfO )
- c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-4.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.qv1@kCPB84cO )
- c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-5.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.hv1@kerkbEjO )
- c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-6.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa
- c:\program files\cinemaplus-4.5vv04.06\364b28f9-a4cd-4b0e-8b50-0c53240695c1-7.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.9u1@kyxAxcgO )
- c:\program files\cinemaplus-4.5vv28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-10.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa
- c:\program files\cinemaplus-4.5vv28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-11.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.tv1@kWv22QkO )
- c:\program files\cinemaplus-4.5vv28.05\68ffd55b-b383-4e0c-aad7-8b00b56d5a49-3.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.tv1@kWv22QkO )
- c:\program files\edu app\bin\eduapp.browseradapter.exe - not-a-virus:AdWare.Win32.BrowseFox.dmss
- c:\program files\edu app\bin\eduapp.expext.exe - not-a-virus:AdWare.Win32.BrowseFox.dmss
- c:\program files\edu app\bin\eduapp.purbrowse.exe - not-a-virus:AdWare.Win32.BrowseFox.dmss
- c:\program files\edu app\updateeduapp.exe - not-a-virus:AdWare.Win32.BrowseFox.dmss
- c:\program files\globalupdate\update\globalupdate.exe - not-a-virus:RiskTool.Win32.GlobalUpdate.dx ( DrWEB: Adware.Boxore.5 )
- c:\program files\globalupdate\update\1.3.25.0\globalupdatebro ker.exe - not-a-virus:AdWare.Win32.Goopdate.a ( DrWEB: Adware.Boxore.2 )
- c:\program files\globalupdate\update\1.3.25.0\globalupdateond emand.exe - not-a-virus:AdWare.Win32.Goopdate.b ( DrWEB: Adware.Boxore.2 )
- c:\program files\globalupdate\update\1.3.25.0\goopdate.dll - not-a-virus:AdWare.Win32.Goopdate.c
- c:\program files\globalupdate\update\1.3.25.0\goopdateres_en. dll - not-a-virus:AdWare.Win32.Goopdate.d
- c:\program files\globalupdate\update\1.3.25.0\npglobalupdateu pdate4.dll - not-a-virus:AdWare.Win32.Goopdate.e
- c:\program files\globalupdate\update\1.3.25.0\psmachine.dll - not-a-virus:AdWare.Win32.Goopdate.f
- c:\program files\globalupdate\update\1.3.25.0\psuser.dll - not-a-virus:AdWare.Win32.Goopdate.f
- c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrlte.exe - not-a-virus:Downloader.Win32.Montiera.al
- c:\program files\pay-by-ads\yahoo! search\1.4.2.5\dsrsetup.exe - not-a-virus:Downloader.Win32.Montiera.al ( BitDefender: Gen:Variant.Application.Strictor.64185 )
- c:\program files\pay-by-ads\yahoo! search\1.4.2.5\..\updt.js - Trojan.JS.Starter.b
- c:\program files\picexa\picexasvc.exe - not-a-virus:AdWare.Win32.ELEX.ed
- c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-11.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.Av1@k0QSEqeO )
- c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-6.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.Ez1@kuGPDZei )
- c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-1-7.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.gv1@kmup1OgO )
- c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-4.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.Bv1@kKVoSjmO )
- c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-5.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.cv1@kuqb71bO )
- c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-6.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993 )
- c:\program files\shop and save up\9776a21c-301a-4a35-9d2a-1c6f5d67aa03-7.exe - not-a-virus:AdWare.NSIS.Adwapper.do ( DrWEB: Trojan.Crossrider1.22993, BitDefender: Gen:Application.Heur.gv1@kmup1OgO )
- c:\program files\xtab\browerwatchch.dll - not-a-virus:AdWare.Win32.SearchProtect.rw ( DrWEB: Adware.Mutabaha.119, AVAST4: Win32:SearchProtect-S [Adw] )
- c:\program files\xtab\browerwatchff.dll - not-a-virus:AdWare.Win32.SearchProtect.rw ( DrWEB: Adware.Mutabaha.119, AVAST4: Win32:SearchProtect-S [Adw] )
- c:\program files\xtab\hpnotify.exe - not-a-virus:AdWare.Win32.SearchProtect.so ( AVAST4: Win32:SupTab-M [Adw] )
- c:\program files\xtab\iewatchdog.dll - not-a-virus:AdWare.Win32.SubTab.e ( DrWEB: Adware.Mutabaha.120, AVAST4: Win32:SearchProtect-S [Adw] )
- c:\program files\xtab\protectservice.exe - not-a-virus:AdWare.Win32.ELEX.ee ( AVAST4: Win32:SupTab-M [Adw] )
- c:\program files\xtab\suptab.dll - not-a-virus:AdWare.Win32.SubTab.e ( AVAST4: Win32:SupTab-L [Adw] )
- c:\programdata\3wminipro3\wminipro.exe - not-a-virus:AdWare.Win32.WProtManager.cb ( AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\windows\system32\drivers\{ab573ef7-acd0-4715-a5c0-420d2ee2cd93}gw.sys - not-a-virus:RiskTool.Win32.NetFilter.ao ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.BrowseFox.V )
- c:\windows\system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}gw.sys - not-a-virus:RiskTool.Win32.NetFilter.ao ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.BrowseFox.V )
- c:\windows\system32\drivers\{42f8f729-2fa8-44bb-b01a-28c57a8162c7}gw.sys - not-a-virus:RiskTool.Win32.NetFilter.ao ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.BrowseFox.V )
Уважаемый(ая) iam_flasher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.