Доброго времени суток. Невнимательный просмотр почты привел к шифрованию
всех офисных файлов (word, excel), картинок и части файлов БД 1с. Все файлы стали с расширением zcrypt.
Помогите расшифровать (если возможно) и почистить систему.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Hubbl, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
NETSVC: KBDMAI -> no filepath.
NETSVC: d3dadapter -> no filepath.
NETSVC: ir16_32 -> C:\Windows\System32\ir16_32.dll ==> No File
NETSVC: wlanmgr -> C:\Windows\System32\wlanmgr.dll ==> No File
HKU\S-1-5-21-4021693006-3922145738-3653580043-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
HKU\S-1-5-21-4021693006-3922145738-3653580043-1001\Software\Microsoft\Internet Explorer\Main,Rambler Search = hxxp://nova.rambler.ru/search?umon=icq74def&words={WORDS}
HKU\S-1-5-21-4021693006-3922145738-3653580043-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
SearchScopes: HKLM -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=710&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001 -> yandex.ru-145510 URL = hxxp://dts.search-results.com/sr?src=ieb&appid=710&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
SearchScopes: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001 -> {89D30182-79D8-40C9-B581-D95DEEE347B7} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
SearchScopes: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001 -> {9717a1766cc8ef8ed320ff954572b8cb} URL = hxxp://nova.rambler.ru/search?umon=icq74def&words={WORDS}
BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
BHO: No Name -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} -> No File
BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll => No File
BHO: No Name -> {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File
Toolbar: HKLM - No Name - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No File
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll No File
Toolbar: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001 -> No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File
Toolbar: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001 -> Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll No File
Toolbar: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Toolbar: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001 -> No Name - {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6} - No File
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\44.0.2403.155\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\44.0.2403.155\pdf.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\44.0.2403.155\gcswf32.dll => No File
CHR Plugin: (AVG Internet Security) - C:\Users\Олеся Александровна\AppData\Local\Google\Chrome\User Data\Default\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla\10.0.0.1409_0\plugins/avgnpss.dll => No File
CHR Plugin: (Skype Toolbars) - C:\Users\Олеся Александровна\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\5.6.0.8442_0\npSkypeChromePlugin.dll => No File
CHR Plugin: (Java Deployment Toolkit 6.0.260.3) - C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll => No File
CHR Plugin: (Java(TM) Platform SE 6 U26) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll => No File
CHR Plugin: (Google Update) - C:\Users\Олеся Александровна\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
CHR Extension: (Ultimate Discounter) - C:\Users\Олеся Александровна\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2016-05-31]
CHR Extension: (Щит безопасности KiS.AV) - C:\Users\Олеся Александровна\AppData\Local\Google\Chrome\User Data\Default\Extensions\jeieeeabmhijgebilmbdbngfkemnginb [2016-05-31]
CHR HKLM\...\Chrome\Extension: [floliaooiknlkomgicdodamdihnhjgni] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lejgaailkdamkibfiedjjnejcibjgljl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\ProgramData\AVG Secure Search\ChromeExt\17.3.0.49\avg.crx <not found>
CHR HKLM\...\Chrome\Extension: [nldekieodmkceimbjnaboonipiaakoel] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Ultimate Discounter) - C:\Users\Олеся Александровна\AppData\Roaming\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2016-05-31]
OPR Extension: (APIHelper) - C:\Users\Олеся Александровна\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2016-05-31]
S2 ir16_32; %SystemRoot%\System32\ir16_32.dll [X]
S2 wlanmgr; %SystemRoot%\System32\wlanmgr.dll [X]
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 bd0003; system32\DRIVERS\bd0003.sys [X]
S1 bd0004; system32\DRIVERS\bd0004.sys [X]
S2 BDArKit; system32\DRIVERS\BDArKit.sys [X]
S0 BDMWrench; system32\DRIVERS\BDMWrench.sys [X]
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{00b02060-f1f7-492d-a778-d4d2713fabd8}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_53AB_86.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{2967905f-ecf3-409f-8019-25b5fccfe72b}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_53AB_86.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{299d01f2-df53-4711-8286-1d450e29df33}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_53AB_86.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{32e34c63-2013-4ee9-b4fb-3bf4aa33aa25}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_F0A8_b9.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{60940425-4085-4f11-ab34-b9dacd636f4b}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_E33_c8.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{61a955b5-06dc-4371-bae4-c228777d6d87}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_F0A8_b9.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{680849bc-b86d-4669-9219-ad9ac13e4ddc}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_E33_c8.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{6a8f8752-e2ec-485d-8e46-b2509f668d26}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_49B2_c3.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{6da75278-e916-4a18-934f-1d90b2cebabd}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_49B2_c3.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{7b7c1f93-8199-4da7-88eb-e25a222c7a15}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_E33_c8.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{9ee0a337-0726-4400-95e8-77e893ec681c}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_49B2_c3.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{a70b6806-f2e5-44a5-abb2-14a63cedf752}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_49B2_c3.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{acad8a98-286a-420b-9fa3-02c0593917c9}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_E33_c8.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{b524799f-1122-4978-ad75-514c406b08b5}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_F0A8_b9.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{c127373e-5025-4630-a5be-23c4d86ac559}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_E33_c8.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{cbb584c0-d082-4ea4-930f-1a395092c8fa}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_53AB_86.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{ce3cc09b-5e51-47fe-88e6-ca2068d12657}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_53AB_86.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{cfe33012-70f5-428e-bedc-b26bf237e21c}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_F0A8_b9.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{e7727e52-306a-4026-a1f3-0a67008f443d}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_49B2_c3.tmp => No File
CustomCLSID: HKU\S-1-5-21-4021693006-3922145738-3653580043-1001_Classes\CLSID\{fb668c1b-efe4-457c-9923-e0144150e9e1}\InprocServer32 -> C:\Users\Олеся Александровна\AppData\Local\Temp\v8_F0A8_b9.tmp => No File
AlternateDataStreams: C:\Users\Олеся Александровна:id [32]
AlternateDataStreams: C:\Users\Олеся Александровна\.iBank2:id [32]
Reboot:
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect