Шифровальщик LOCKED почта [email protected]. [Trojan.MSIL.Crypt.hyj, Trojan.Win32.Reconyc.hycw, UDS:DangerousObject.Multi.Generic ]

**Татьяна1989** · 11.05.2017, 04:13

Зашифровали файлы. Требуют 101 000 руб., покупка биткоинов. Сторговались до 30. Есть ли возможность обойтись без оплаты мошенникам? Никаких гарантий они не дают.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.05.2017, 04:21

Уважаемый(ая) Татьяна1989, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 11.05.2017, 07:05

C:\ProgramData\Google Updater 2.0\i57ykqgkm35y.exe (файл имеет артибуты "скрытый системный") заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Товаровед\AppData\Roaming\BLD93115RWR\write.exe','');
 QuarantineFile('C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','');
 QuarantineFile('C:\sistem\1.vbs','');
 QuarantineFile('C:\Programm\1.VBS','');
 QuarantineFile('C:\PerfLogss\1.vbs','');
 QuarantineFile('C:\miner\1.vbs','');
 QuarantineFile('C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','');
 QuarantineFile('C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sbsvr.exe','');
 QuarantineFile('C:\Users\Operator\AppData\Roaming\Wekiyhuqv\ivonmiydko.exe','');
 QuarantineFile('C:\ProgramData\Windows\svchost.VBS','');
 QuarantineFile('C:\sistemstik\1.vbs','');
 QuarantineFile('C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\ScreenToGif\syvvyvxur.exe','');
 QuarantineFile('C:\ProgramData\Google Updater 2.0\i57ykqgkm35y.exe','');
 DeleteFile('C:\ProgramData\Google Updater 2.0\i57ykqgkm35y.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Google Updater 2.0');
 DeleteFile('C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\ScreenToGif\syvvyvxur.exe','32');
 DeleteFile('C:\sistemstik\1.vbs','32');
 DeleteFile('C:\ProgramData\Windows\svchost.VBS','32');
 DeleteFile('C:\Users\Operator\AppData\Roaming\Wekiyhuqv\ivonmiydko.exe','32');
 DeleteFile('C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32');
 DeleteFile('C:\miner\1.vbs','32');
 DeleteFile('C:\PerfLogss\1.vbs','32');
 DeleteFile('C:\Programm\1.VBS','32');
 DeleteFile('C:\sistem\1.vbs','32');
 DeleteFile('C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32');
 DeleteFile('C:\Users\Товаровед\AppData\Roaming\BLD93115RWR\write.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\BLD93115RWR','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**Татьяна1989** · 11.05.2017, 08:28

Файлы отправили. i57ykqgkm35y и quarantin

**thyrex** · 11.05.2017, 10:57

Дочитывайте до конца

Сообщение от thyrex

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**Татьяна1989** · 11.05.2017, 11:32

Сделали

- - - - -Добавлено - - - - -

Файл во вложени

**thyrex** · 11.05.2017, 15:34

Вместо файла c:\quarantine.zip Вы что прислали в карантин? Неужели трудно прочитать внимательно и сделать все, как положено?

**Татьяна1989** · 12.05.2017, 03:49

Сообщение от thyrex

Вместо файла c:\quarantine.zip Вы что прислали в карантин? Неужели трудно прочитать внимательно и сделать все, как положено?

Файл с таким именем система не дала загрузить. Писала что он уже прикреплен и отправлен. Его просто переименовали

- - - - -Добавлено - - - - -

Могу только так прикрепить

**thyrex** · 12.05.2017, 06:19

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**Татьяна1989** · 12.05.2017, 06:50

Готово

**thyrex** · 12.05.2017, 08:32

C:\Users\Operator\Desktop\beta.exe
C:\Users\Товаровед\Desktop\beta.exe

эти файлы Вам известны?

Файлы из этого списка

2017-05-08 18:16 - 2017-05-08 18:17 - 7940223 _____ () C:\Users\Operator\AppData\Local\Temp\197asoe1a.exe
2017-05-08 23:59 - 2017-05-08 23:59 - 0677376 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\3k1wak1a15.ex e
2017-05-08 17:49 - 2017-05-08 17:50 - 7940236 _____ () C:\Users\Operator\AppData\Local\Temp\735ou937519ew q9.exe
2017-05-08 17:40 - 2017-05-08 17:40 - 0270336 _____ () C:\Users\Operator\AppData\Local\Temp\7s379qyi7w1u5 5.exe
2017-05-09 13:59 - 2017-05-09 13:59 - 0543232 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\e1ksc7qia51kq .exe
2017-05-09 03:25 - 2017-05-09 03:25 - 0000000 _____ () C:\Users\Operator\AppData\Local\Temp\ies19uccu7.ex e
2017-05-09 00:28 - 2017-05-09 00:29 - 7940222 _____ () C:\Users\Operator\AppData\Local\Temp\kmck99e3ismo. exe
2017-05-09 02:58 - 2017-05-09 02:59 - 7940191 _____ () C:\Users\Operator\AppData\Local\Temp\kqiu3scog55.e xe
2017-05-09 04:21 - 2017-05-09 04:21 - 0543232 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\qs5s513cu.exe
2017-05-08 23:48 - 2017-05-08 23:48 - 0474624 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\s7kuucuwuek3c 9.exe
2017-05-09 15:58 - 2017-05-09 15:59 - 7940224 _____ () C:\Users\Operator\AppData\Local\Temp\u19ae11k7a51o s.exe
2017-05-12 02:30 - 2017-05-08 19:31 - 1691648 _____ () C:\Users\Operator\AppData\Local\Temp\wrsd.exe
2017-05-05 02:15 - 2017-05-05 02:15 - 7940221 _____ () C:\Users\Товаровед\AppData\Local\Temp\36212156.exe
2017-05-05 05:32 - 2017-05-05 05:32 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\533cq399.exe
2017-05-09 12:06 - 2017-05-09 12:07 - 7940191 _____ () C:\Users\Товаровед\AppData\Local\Temp\5u1gs9cym5u. exe
2017-05-05 11:52 - 2017-05-05 11:52 - 2186240 _____ () C:\Users\Товаровед\AppData\Local\Temp\BetaBotBuild erGUI.exe
2017-05-05 14:04 - 2017-05-05 14:04 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\e7o351gu53wa 1y.exe
2017-05-05 11:52 - 2017-05-05 11:52 - 0790528 _____ () C:\Users\Товаровед\AppData\Local\Temp\install.exe
2017-05-05 11:52 - 2017-05-05 11:52 - 0393240 _____ () C:\Users\Товаровед\AppData\Local\Temp\packer.exe
2017-05-05 05:32 - 2017-05-05 05:32 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\wk3yeka7.exe
2017-05-05 14:04 - 2017-05-05 14:04 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\ymg37y3755ei 71y.exe

заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по ссылке для отправки карантина

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKU\S-1-5-21-3187572309-3104135280-2793098065-1006\...\CurrentVersion\Windows: [Load] C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\ScreenToGif\syvvyvxur.exe <===== ATTENTION
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll -> No File
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll -> No File
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll -> No File
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Cloud Mail.Ru.lnk [2017-05-09]
ShortcutTarget: Cloud Mail.Ru.lnk ->  (No File)
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk [2017-05-09]
ShortcutTarget: explorer.lnk ->  (No File)
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hostwarer.lnk [2017-05-09]
ShortcutTarget: hostwarer.lnk ->  (No File)
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sisteman.lnk [2017-05-09]
ShortcutTarget: sisteman.lnk ->  (No File)
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\susmar.lnk [2017-05-09]
ShortcutTarget: susmar.lnk -> C:\sistemstik\1.VBS ()
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sustemi.lnk [2017-05-09]
ShortcutTarget: sustemi.lnk ->  (No File)
Startup: C:\Users\Operator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2017-05-11] ()
Startup: C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BTC.lnk [2017-05-07]
ShortcutTarget: BTC.lnk -> C:\miner\1.VBS ()
Startup: C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Micrasofft.lnk [2017-05-07]
ShortcutTarget: Micrasofft.lnk -> C:\PerfLogss\1.vbs (No File)
Startup: C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sistemi.lnk [2017-05-07]
ShortcutTarget: sistemi.lnk -> C:\Programm\1.VBS (No File)
Startup: C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows.lnk [2017-04-24]
ShortcutTarget: Windows.lnk -> C:\sistem\1.vbs (No File)
Startup: C:\Users\Товаровед\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2017-05-11] ()
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ipmkfpcnmccejididiaagpgchgjfajgp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3187572309-3104135280-2793098065-1006\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
2017-05-11 12:55 - 2017-05-11 12:55 - 01007151 _____ C:\Users\Товаровед\Desktop\Google Updater 2.0.rar
2017-05-09 04:21 - 2017-05-09 04:21 - 00000000 ____D C:\Users\Operator\AppData\Roaming\Ydodycukpa
2017-05-09 04:21 - 2017-05-09 04:21 - 00000000 ____D C:\Users\Operator\AppData\Roaming\Heatnurekoe
2017-05-09 04:21 - 2017-05-09 04:21 - 00000000 ____D C:\Users\Operator\AppData\Roaming\Gousvenym
2017-05-09 02:03 - 2017-05-09 02:03 - 00002044 _____ C:\Users\Товаровед\Instruction for file recovery.txt
2017-05-09 02:03 - 2017-05-09 02:03 - 00002044 _____ C:\Users\Товаровед\Downloads\Instruction for file recovery.txt
2017-05-09 02:03 - 2017-05-09 02:03 - 00002044 _____ C:\Users\Товаровед\Documents\Instruction for file recovery.txt
2017-05-09 02:02 - 2017-05-09 02:02 - 00002044 _____ C:\Users\Товаровед\Desktop\Instruction for file recovery.txt
2017-05-09 02:02 - 2017-05-09 02:02 - 00002044 _____ C:\Users\Все пользователи\Instruction for file recovery.txt
2017-05-09 02:02 - 2017-05-09 02:02 - 00002044 _____ C:\ProgramData\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Администратор\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Администратор\Downloads\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Администратор\Documents\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Администратор\Desktop\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Public\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Public\Downloads\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Public\Documents\Instruction for file recovery.txt
2017-05-09 02:01 - 2017-05-09 02:01 - 00002044 _____ C:\Users\Public\Desktop\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\DefaultAppPool\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\Default\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\cassa\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\cassa\Downloads\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\cassa\Documents\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\cassa\Desktop\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin3\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin3\Downloads\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin3\Documents\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin3\Desktop\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin\Downloads\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin\Documents\Instruction for file recovery.txt
2017-05-09 01:59 - 2017-05-09 01:59 - 00002044 _____ C:\Users\admin\Desktop\Instruction for file recovery.txt
2017-05-09 01:53 - 2017-05-09 01:53 - 00002044 _____ C:\Users\Operator\Downloads\Instruction for file recovery.txt
2017-05-09 01:53 - 2017-05-09 01:53 - 00002044 _____ C:\Users\Operator\Documents\Instruction for file recovery.txt
2017-05-09 01:51 - 2017-05-09 02:18 - 00002044 _____ C:\Users\Operator\Instruction for file recovery.txt
2017-05-09 01:51 - 2017-05-09 02:18 - 00002044 _____ C:\Users\Operator\Desktop\Instruction for file recovery.txt
2017-05-09 00:29 - 2017-05-09 01:57 - 00000000 ____D C:\sistema
2017-05-08 17:50 - 2017-05-09 01:55 - 00000000 ____D C:\Microosoft
2017-05-08 17:50 - 2017-05-08 17:50 - 00000000 ____D C:\Users\Operator\AppData\Local\minergate-cli
2017-05-07 15:30 - 2017-05-09 12:07 - 00000000 ____D C:\miner
2017-05-05 05:12 - 2017-05-10 11:10 - 00000000 __SHD C:\Users\Все пользователи\Google Updater 2.0
2017-05-05 05:12 - 2017-05-10 11:10 - 00000000 __SHD C:\ProgramData\Google Updater 2.0
2017-05-08 18:16 - 2017-05-08 18:17 - 7940223 _____ () C:\Users\Operator\AppData\Local\Temp\197asoe1a.exe
2017-05-08 23:59 - 2017-05-08 23:59 - 0677376 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\3k1wak1a15.exe
2017-05-08 17:49 - 2017-05-08 17:50 - 7940236 _____ () C:\Users\Operator\AppData\Local\Temp\735ou937519ewq9.exe
2017-05-08 17:40 - 2017-05-08 17:40 - 0270336 _____ () C:\Users\Operator\AppData\Local\Temp\7s379qyi7w1u55.exe
2017-05-09 13:59 - 2017-05-09 13:59 - 0543232 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\e1ksc7qia51kq.exe
2017-05-09 03:25 - 2017-05-09 03:25 - 0000000 _____ () C:\Users\Operator\AppData\Local\Temp\ies19uccu7.exe
2017-05-09 00:28 - 2017-05-09 00:29 - 7940222 _____ () C:\Users\Operator\AppData\Local\Temp\kmck99e3ismo.exe
2017-05-09 02:58 - 2017-05-09 02:59 - 7940191 _____ () C:\Users\Operator\AppData\Local\Temp\kqiu3scog55.exe
2017-05-09 04:21 - 2017-05-09 04:21 - 0543232 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\qs5s513cu.exe
2017-05-08 23:48 - 2017-05-08 23:48 - 0474624 _____ (Microsoft Corporation) C:\Users\Operator\AppData\Local\Temp\s7kuucuwuek3c9.exe
2017-05-09 15:58 - 2017-05-09 15:59 - 7940224 _____ () C:\Users\Operator\AppData\Local\Temp\u19ae11k7a51os.exe
2017-05-12 02:30 - 2017-05-08 19:31 - 1691648 _____ () C:\Users\Operator\AppData\Local\Temp\wrsd.exe
2017-05-05 02:15 - 2017-05-05 02:15 - 7940221 _____ () C:\Users\Товаровед\AppData\Local\Temp\36212156.exe
2017-05-05 05:32 - 2017-05-05 05:32 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\533cq399.exe
2017-05-09 12:06 - 2017-05-09 12:07 - 7940191 _____ () C:\Users\Товаровед\AppData\Local\Temp\5u1gs9cym5u.exe
2017-05-05 11:52 - 2017-05-05 11:52 - 2186240 _____ () C:\Users\Товаровед\AppData\Local\Temp\BetaBotBuilderGUI.exe
2017-05-05 14:04 - 2017-05-05 14:04 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\e7o351gu53wa1y.exe
2017-05-05 11:52 - 2017-05-05 11:52 - 0790528 _____ () C:\Users\Товаровед\AppData\Local\Temp\install.exe
2017-05-05 11:52 - 2017-05-05 11:52 - 0393240 _____ () C:\Users\Товаровед\AppData\Local\Temp\packer.exe
2017-05-05 05:32 - 2017-05-05 05:32 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\wk3yeka7.exe
2017-05-05 14:04 - 2017-05-05 14:04 - 0241664 _____ (МЛѮѠшБыЛтЖЦФЧѤПмѺШѪЮчЖ) C:\Users\Товаровед\AppData\Local\Temp\ymg37y3755ei71y.exe
CustomCLSID: HKU\S-1-5-21-3187572309-3104135280-2793098065-1006_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3187572309-3104135280-2793098065-1006_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3187572309-3104135280-2793098065-1006_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-3187572309-3104135280-2793098065-1006_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Users\Товаровед\AppData\Local\Temp\mcse32_00.dll => No File
Task: {4DAE12E8-1F97-4BFA-81E0-36F27C3111E3} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {5718BB18-E788-422B-8307-ABC620394AEF} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {675343B5-A7D8-4D63-8AA6-2735B95EF3F7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {6BB3F8C9-6667-40FB-986D-4E167CD47703} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {6BFCDA47-ED09-4831-A7B0-612C7DFB77F9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {6D4F2C73-7E74-4073-B7D3-65CDFBDEA284} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {762FD15B-2877-4AD5-A8C6-7EB88CE54476} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {7B1CA9AF-E940-44DA-8E99-0E96C5CACFD4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {9E8278D4-C1D1-44A0-9D1C-90862076CDD0} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {A9B2B3AD-64A3-45C9-BBF6-1046FA109F01} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {AF14C44B-B081-4981-8BA7-C9D6203DEA02} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {B49192B9-4E62-4499-B73F-A34042CD4CF5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {E2F24698-A37F-416D-B3DB-18438075193C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {EE7F9937-915D-4F54-8AFD-33D7EDFAC3C4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**Татьяна1989** · 12.05.2017, 09:49

готово

- - - - -Добавлено - - - - -

И файла не известны C:\Users\Operator\Desktop\beta.exe
C:\Users\Товаровед\Desktop\beta.exe

**thyrex** · 12.05.2017, 10:36

Сообщение от Татьяна1989

C:\Users\Operator\Desktop\beta.exe
C:\Users\Товаровед\Desktop\beta.exe

тогда и их пришлите

**Татьяна1989** · 12.05.2017, 11:02

В карантин отправила

**thyrex** · 12.05.2017, 12:42

Прикрепите в архиве к следующему сообщению пример зашифрованного файла и его незашифрованной копии. Размер зашифрованного файла чуть больше (приблизительно на 20-40 байт)

**Татьяна1989** · 12.05.2017, 13:44

Не уверена что эти файлы то что вам надо. Посмотрите пожалуйста.

Сообщение от thyrex

Прикрепите в архиве к следующему сообщению пример зашифрованного файла и его незашифрованной копии. Размер зашифрованного файла чуть больше (приблизительно на 20-40 байт)

- - - - -Добавлено - - - - -

просто не осталось не зашифрованных файлов вовсе. Либо я вас не правильно понимаю.

**thyrex** · 12.05.2017, 14:41

Это только зашифрованные файлы.

Обычно при установке Windows на компьютер записываются и образцы стандартных файлов с изображениями (папка Образцы рисунков или что-то подобное). Нужно найти незашифрованные оригиналы на компьютере с подобной системой и прислать их вместе с примером шифрованного файла с Вашего компьютера

**Татьяна1989** · 12.05.2017, 19:04

Сообщение от thyrex

Это только зашифрованные файлы.

Обычно при установке Windows на компьютер записываются и образцы стандартных файлов с изображениями (папка Образцы рисунков или что-то подобное). Нужно найти незашифрованные оригиналы на компьютере с подобной системой и прислать их вместе с примером шифрованного файла с Вашего компьютера

Что можно сделать если этих файлов нет?

**thyrex** · 12.05.2017, 19:22

Увы, без них оригиналов файлов расшифровка невозможна. Я же сказал - ищите компьютер с системой, подобной Вашей, и ищите оригиналы

**Татьяна1989** · 13.05.2017, 06:59

Нашли вроде. Только они по размеру одинаковые. Такое может быть?

- - - - -Добавлено - - - - -

Можно еще эти попробовать

Шифровальщик LOCKED почта [email protected]. [Trojan.MSIL.Crypt.hyj, Trojan.Win32.Reconyc.hycw, UDS:DangerousObject.Multi.Generic ] (заявка № 211884)

Опции темы