Зашифровались файлы Better Call Saul

shestale · Отправлено: **08:15, 13-04-2016** | #11

Отлично. Теперь Подготовьте логи FRST

Simonenkoele · Отправлено: **08:46, 13-04-2016** | #12

Сейчас, уже делаю...

Simonenkoele · Отправлено: **09:05, 13-04-2016** | #13

Просканировала! Почему создалось только два отчета... Отправляю..

Simonenkoele · Отправлено: **09:10, 13-04-2016** | #14

Нашла третий в другом месте.. Отправляю..

shestale · Отправлено: **09:42, 13-04-2016** | #15

Выполните скрипт в Farbar Recovery Scan Tool

Код:

start
CreateRestorePoint:
Mail.Ru Агент 6.3 (сборка 8065) (HKU\S-1-5-21-2696400509-195554733-1256058888-1000\...\MRA) (Version: 6.3.8065.0 - Mail.Ru) <==== ATTENTION
ShortcutWithArgument: C:\Users\Елена\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mail.ru
AlternateDataStreams: C:\ProgramData\TEMP:4D348522 [143]
AlternateDataStreams: C:\ProgramData\TEMP:596E986D [120]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:4D348522 [143]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:596E986D [120]
AlternateDataStreams: C:\Users\Елена\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Елена\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Елена\AppData\Local\Application Data:wa [146]
FirewallRules: [{9FA052F2-BDFD-41FA-9307-78F4A0BF3335}] => (Allow) C:\Users\Елена\AppData\Roaming\Mail.Ru\Agent\magent.exe
FirewallRules: [{D9110C1E-9714-4AEE-8C30-EE88478FC99B}] => (Allow) C:\Users\Елена\AppData\Roaming\Mail.Ru\Agent\magent.exe
FirewallRules: [TCP Query User{7AAF079A-1507-4052-9572-9201031E3837}C:\users\елена\appdata\local\temp\uttec72.tmp.exe] => (Allow) C:\users\елена\appdata\local\temp\uttec72.tmp.exe
FirewallRules: [UDP Query User{D10A80CD-1015-44A8-A8B8-0963F2DC64C9}C:\users\елена\appdata\local\temp\uttec72.tmp.exe] => (Allow) C:\users\елена\appdata\local\temp\uttec72.tmp.exe
FirewallRules: [TCP Query User{BEEC2730-F019-4B98-9F40-70ABDEAF3017}C:\users\елена\appdata\local\temp\utt2790.tmp.exe] => (Allow) C:\users\елена\appdata\local\temp\utt2790.tmp.exe
FirewallRules: [UDP Query User{CFE59AA7-46C8-4710-A54B-841AF3E25250}C:\users\елена\appdata\local\temp\utt2790.tmp.exe] => (Allow) C:\users\елена\appdata\local\temp\utt2790.tmp.exe
FirewallRules: [{E832C3B5-63EE-49EA-AE3E-A569A94A8600}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-I1VAU.tmp\setup8061.tmp
FirewallRules: [{4B17D6C9-159A-40D5-A1E7-D12AE224F816}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-I1VAU.tmp\setup8061.tmp
FirewallRules: [{7D56F5CA-1979-44A7-8BD6-471057A287A9}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-T7QIO.tmp\setup32601.tmp
FirewallRules: [{48A56D43-2282-403A-9082-9F774852D64A}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-T7QIO.tmp\setup32601.tmp
CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [noecaidkfpaionjdebbkoehapefchmjj] - C:\ProgramData\Wondershare\Player\BHO@Wondershare.com.crx <not found>
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
C:\Users\Елена\AppData\Local\Temp\A44DAA0E.exe
C:\Users\Елена\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Елена\AppData\Local\Temp\EF60.tmp.exe
Reboot:
end

+
Почистите кэш и куки в браузерах.

Simonenkoele · Отправлено: **09:59, 13-04-2016** | #16

У меня не открывается сохранение как fixlist.txt. Открывается только два вида сохранения: Текстовые документы и Все файлы. И ФАРБАР не считывает такой файл. Что делать?

Sandor · Отправлено: **10:20, 13-04-2016** | #17

Сделайте так:

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

Advanced SystemCare 8
Free VPN version 3.2
IObit Uninstaller
Surfing Protection

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
CloseProcesses:
S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit)
2016-04-12 14:24 - 2016-04-12 14:24 - 00000000 ____D C:\Users\Елена\AppData\Roaming\ProductData
2016-04-12 14:22 - 2016-04-12 14:23 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-04-12 14:22 - 2016-04-12 14:23 - 00000000 ____D C:\ProgramData\IObit
2016-04-12 14:22 - 2016-04-12 14:22 - 00001146 _____ C:\Users\Public\Desktop\IObit Uninstaller.lnk
2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\Users\Елена\AppData\LocalLow\IObit
2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\ProgramData\ProductData
2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller
2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-04-12 14:22 - 2016-04-12 14:22 - 00000000 ____D C:\Program Files\Common Files\IObit
2016-04-12 14:21 - 2016-04-12 14:22 - 00000000 ____D C:\Users\Елена\AppData\Roaming\IObit
2016-04-12 14:21 - 2016-04-12 14:22 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced SystemCare 8
2016-04-12 14:21 - 2016-04-12 14:22 - 00000000 ____D C:\Program Files\IObit
2016-04-12 14:21 - 2016-04-12 14:21 - 00000000 ____D C:\Users\Елена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2016-04-12 14:21 - 2016-04-12 14:21 - 00000000 ____D C:\Users\Елена\AppData\Local\Unity
2016-04-12 14:20 - 2016-04-12 14:20 - 00000000 ____D C:\Users\Елена\AppData\LocalLow\Unity
2016-04-12 14:18 - 2016-04-12 14:18 - 00000960 _____ C:\Users\Public\Desktop\Free VPN.lnk
2016-04-12 14:18 - 2016-04-12 14:18 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free VPN
2016-04-12 14:18 - 2016-04-12 14:18 - 00000000 ____D C:\Program Files\Free VPN
2016-04-12 10:23 - 2016-04-12 20:54 - 00000000 ____D C:\Users\Елена\AppData\Local\YZPack
2016-04-12 10:22 - 2016-04-12 10:22 - 02359350 _____ C:\Users\Елена\AppData\Roaming\E5B25203E5B25203.bmp
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README9.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README8.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README7.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README6.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README5.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README4.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README3.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README2.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README10.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Елена\Desktop\README1.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README9.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README8.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README7.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README6.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README5.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README4.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README3.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README2.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README10.txt
2016-04-12 10:22 - 2016-04-12 10:22 - 00002071 _____ C:\Users\Public\Desktop\README1.txt
2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README9.txt
2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README8.txt
2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README7.txt
2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README6.txt
2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README5.txt
2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README4.txt
2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README3.txt
2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README2.txt
2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README10.txt
2016-04-12 09:32 - 2016-04-12 09:32 - 00002071 _____ C:\README1.txt
2016-04-12 09:31 - 2016-04-12 14:58 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-12 09:31 - 2016-04-12 14:58 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Елена\AppData\Local\Temp\1_flashplayer.exe
C:\Users\Елена\AppData\Local\Temp\2_flashplayer.exe
C:\Users\Елена\AppData\Local\Temp\3_flashplayer.exe
C:\Users\Елена\AppData\Local\Temp\4_flashplayer.exe
C:\Users\Елена\AppData\Local\Temp\5_m44pqr.dll
C:\Users\Елена\AppData\Local\Temp\A44DAA0E.exe
C:\Users\Елена\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Елена\AppData\Local\Temp\EF60.tmp.exe
C:\Users\Елена\AppData\Local\Temp\FreeVPNSetup.exe
C:\Users\Елена\AppData\Local\Temp\iobitdownloader_123.exe
C:\Users\Елена\AppData\Local\Temp\libeay32.dll
C:\Users\Елена\AppData\Local\Temp\mailruhomesearch.exe
C:\Users\Елена\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Елена\AppData\Local\Temp\msvcr120.dll
C:\Users\Елена\AppData\Local\Temp\oct9CB4.tmp.exe
C:\Users\Елена\AppData\Local\Temp\seartchil-swd.ru_RU.exe
Task: {2BC35B55-53D9-4491-A52D-56D13EC01C87} - System32\Tasks\MailRuUpdateTask => C:\Users\Елена\AppData\Local\Mail.Ru\MailRuUpdater.exe
Task: {3D709F4A-0FFE-4433-88D3-E775F135B7AD} - System32\Tasks\Uninstaller_SkipUac_Елена => C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe [2015-05-20] (IObit)
Task: {AA6C04CE-C2BF-4655-AD72-42D7856C341F} - System32\Tasks\MailRuUpdater => C:\Users\Елена\AppData\Local\Mail.Ru\MailRuUpdater.exe
AlternateDataStreams: C:\Users\Елена\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Елена\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Елена\AppData\Local\Application Data:wa [146]
FirewallRules: [{E832C3B5-63EE-49EA-AE3E-A569A94A8600}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-I1VAU.tmp\setup8061.tmp
FirewallRules: [{4B17D6C9-159A-40D5-A1E7-D12AE224F816}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-I1VAU.tmp\setup8061.tmp
FirewallRules: [{7D56F5CA-1979-44A7-8BD6-471057A287A9}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-T7QIO.tmp\setup32601.tmp
FirewallRules: [{48A56D43-2282-403A-9082-9F774852D64A}] => (Allow) C:\Users\Елена\AppData\Local\Temp\is-T7QIO.tmp\setup32601.tmp
FirewallRules: [{1CE1B4D7-9416-49B8-B1B6-F2980A9772CA}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe
FirewallRules: [{2F5C9A21-287C-4884-BA2D-B79464EE8E4D}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Simonenkoele · Отправлено: **10:52, 13-04-2016** | #18

Все удалила... Но все равно сохранение как fixlist.txt не открывается... Только как Все файлы и Текстовые документы... fixlist.txt это тип файла или имя файла? Уже и как имя вводила... Не берет...

Sandor · Отправлено: **10:56, 13-04-2016** | #19

А сохранить как Безымянный.txt - позволяет? Если да, сохраните так, затем переименуйте.

Simonenkoele · Отправлено: **11:15, 13-04-2016** | #20

Отправляю скриншоты последовательности сохранения. Сам файл вроде сохраняется. Но ФАРБАР его не воспринимает.