Зашифрованны файлы в формат.xtbl

[karpikart]

Здравствуйте, у меня вот какая проблема, увидел на рабочем столе надпись

" Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы.Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков."

В содержании этих файлов сказано следующее

"Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

3DE25E68C860A4B65167|0

на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации." и тоже самое только на английском языке.

 

Все файлы фотографий музыки и видео теперь в формате xtbl, поискал в сети решение этой проблемы, но не нашел, подскажите пожалуйста как можно побороть данный недуг и спасти файлы?
 

CollectionLog-2015.02.16-20.51.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Вовчик\appdata\roaming\x11\engine.exe','');
QuarantineFile('C:\Users\Вовчик\AppData\Roaming\UPMUZZ.exe','');
QuarantineFile('C:\Users\Вовчик\AppData\Roaming\KAVFKEW.exe','');
QuarantineFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-7.exe','');
QuarantineFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-6.exe','');
QuarantineFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-5.exe','');
QuarantineFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-4.exe','');
QuarantineFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-2.exe','');
QuarantineFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-11.exe','');
QuarantineFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
TerminateProcessByName('c:\users\Вовчик\appdata\roaming\steam\reversed\steam.exe');
QuarantineFile('c:\users\Вовчик\appdata\roaming\steam\reversed\steam.exe','');
DeleteFile('c:\users\Вовчик\appdata\roaming\steam\reversed\steam.exe','32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32');
DeleteFile('C:\Users\Вовчик\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduClient');
DeleteFile('C:\Users\Вовчик\AppData\Local\Temp\_uninst_57071809.bat','32');
DeleteFile('C:\Users\Вовчик\AppData\Local\Temp\_uninst_79985653.bat','32');
DeleteFile('C:\iexplore.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dosdogxnea');
DeleteFile('C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe','32');
DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-1.job','64');
DeleteFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-11.exe','32');
DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-11.job','64');
DeleteFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-2.exe','32');
DeleteFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-4.exe','32');
DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-4.job','64');
DeleteFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-5.exe','32');
DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-5.job','64');
DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-5_user.job','64');
DeleteFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-6.exe','32');
DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-6.job','64');
DeleteFile('C:\Windows\Tasks\18398d3a-475a-4d97-90a6-13c87cbed488-7.job','64');
DeleteFile('C:\Program Files (x86)\Ge-Force\18398d3a-475a-4d97-90a6-13c87cbed488-7.exe','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\KAVFKEW.job','64');
DeleteFile('C:\Windows\Tasks\UPMUZZ.job','64');
DeleteFile('C:\Users\Вовчик\AppData\Roaming\KAVFKEW.exe','32');
DeleteFile('C:\Users\Вовчик\AppData\Roaming\UPMUZZ.exe','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
DeleteFile('C:\Windows\system32\Tasks\YTDownloader','64');
DeleteFile('C:\Users\Вовчик\appdata\roaming\x11\engine.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  
• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
   
  
   
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Сделайте новые логи

[mike 1]

+

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[karpikart]

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Вот что мне прислали

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

chrome.bat,
iexplore.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo
steam.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wyw

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

KAVFKEW.exe,
UPMUZZ.exe - not-a-virus:AdWare.NSIS.Adwapper.do

Это файлы от рекламной системы. Детектирование файлов будет добавлено в   следующее обновление расширенного набора баз. Подробная информация о   расширенных базах: http://www.kaspersky.ru/extraavupdates

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

 

+

 

 

•  

   
• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

mike 1

прошу прощения в первый раз не от админа запускал программу 

вот второй файл

AdwCleanerR0.txt

AdwCleanerR1.txt

[Roman_Five]

удалите всё найденное в AdwCleaner

 

новый лог приложите.

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

[karpikart]

удалите всё найденное в AdwCleaner

 

новый лог приложите.

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

AdwCleanerR2.txt

[Roman_Five]

Folder Found : C:\Users\Вовчик\AppData\Roaming\zona

повторите удаление.

новый лог приложите.

[karpikart]

прошу прощения за задержку

AdwCleanerS2.txt

[Roman_Five]

чисто.
 

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[karpikart]

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Addition.txt

FRST.txt

[Roman_Five]

@karpikart, как Вы умудрились между логами заразить систему бронтоком?

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

Task: {E3658AE9-1052-4703-BF22-58B8EF30A6B8} - \Microsoft\Windows\Multimedia\SMupdate3 No Task File <==== ATTENTION
Task: {E3B20026-D538-49B8-8B1F-4FB20BA1D272} - System32\Tasks\newSI_632 => C:\Users\Вовчик\AppData\Roaming\newSI_632\s_inst.exe [2014-12-03] ()
Task: {E4269FD5-E93E-4C98-BDF3-743F42A71159} - System32\Tasks\newSI_645 => C:\Users\Вовчик\AppData\Roaming\newSI_645\s_inst.exe [2015-02-11] ()
Task: C:\Windows\Tasks\newSI_620.job => C:\Users\>2G8:\AppData\Roaming\newSI_620\s_inst.exe
Task: C:\Windows\Tasks\newSI_632.job => C:\Users\>2G8:\AppData\Roaming\newSI_632\s_inst.exe
Task: C:\Windows\Tasks\newSI_636.job => C:\Users\>2G8:\AppData\Roaming\newSI_636\s_inst.exe
Task: C:\Windows\Tasks\newSI_637.job => C:\Users\>2G8:\AppData\Roaming\newSI_637\s_inst.exe
Task: C:\Windows\Tasks\newSI_645.job => C:\Users\>2G8:\AppData\Roaming\newSI_645\s_inst.exe
2011-10-06 17:29 - 2012-04-17 11:11 - 00042687 ____N () C:\Users\Вовчик\AppData\Local\winlogon.exe
2011-10-06 17:29 - 2012-04-17 11:11 - 00042687 _____ () C:\Users\Вовчик\AppData\Local\services.exe
2011-10-06 17:29 - 2012-04-17 11:11 - 00042687 _____ () C:\Users\Вовчик\AppData\Local\lsass.exe
HKLM-x32\...\Winlogon: [Shell] Explorer.exe "C:\Windows\eksplorasi.exe" [42687 ] () <=== ATTENTION
HKLM-x32\...\Run: [ZaxarLoader] => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
HKU\S-1-5-21-30756018-1987163560-2035619167-1000\...\Run: [amigo] => [X]
HKU\S-1-5-21-30756018-1987163560-2035619167-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Вовчик\AppData\Local\smss.exe [42687 2012-04-17] ()
HKU\S-1-5-21-30756018-1987163560-2035619167-1000\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-30756018-1987163560-2035619167-1000\...\Policies\Explorer: [NoFolderOptions] 1
HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => "C:\Windows\System32\config\systemprofile\AppData\Local\smss.exe"
HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1
Startup: C:\Users\Вовчик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-30756018-1987163560-2035619167-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF Extension: No Name - C:\Users\Вовчик\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\itsoc@tele-walk.ru [2015-01-13]
CHR DefaultSearchURL: Default -> http://go-search.ru/search?q={searchTerms}
CHR Extension: (FullProtected) - C:\Users\Вовчик\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2015-02-15]
CHR Extension: (No Name) - C:\Users\Вовчик\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-12-01]
CHR Extension: (Advisor) - C:\Users\Вовчик\AppData\Local\Google\Chrome\User Data\Default\Extensions\hhdjegdllbnhgdbkamlghkfcjnkilinm [2015-02-20]
CHR Extension: (No Name) - C:\Users\Вовчик\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccogepdpdnpcoblidpcjgmdcafinijg [2015-03-07]
CHR Extension: (Targeting Center) - C:\Users\Вовчик\AppData\Local\Google\Chrome\User Data\Default\Extensions\piinjfbkomhbihijnanbkdkcodgficdn [2015-02-20]
CHR HKU\S-1-5-21-30756018-1987163560-2035619167-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
2015-03-08 14:40 - 2015-03-08 14:40 - 00030412 _____ () C:\Users\Вовчик\AppData\Local\Update.12.Bron.Tok.bin
2015-03-08 14:35 - 2015-03-08 14:35 - 00030412 _____ () C:\Users\Вовчик\AppData\Local\Bron.tok.A12.em.bin
2015-03-08 00:00 - 2015-03-08 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-8
2015-03-07 00:00 - 2015-03-07 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-7
2015-03-06 00:00 - 2015-03-06 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-6
2015-03-05 00:00 - 2015-03-05 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-5
2015-03-04 00:00 - 2015-03-04 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-4
2015-03-03 00:00 - 2015-03-03 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-3
2015-03-02 00:00 - 2015-03-02 00:00 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-2
2015-03-01 19:16 - 2015-03-04 02:49 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Loc.Mail.Bron.Tok
2015-03-01 19:16 - 2015-03-01 19:16 - 00000051 _____ () C:\Users\Вовчик\AppData\Local\Kosong.Bron.Tok.txt
2015-03-01 19:16 - 2015-03-01 19:16 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Ok-SendMail-Bron-tok
2015-03-01 13:27 - 2015-03-01 13:27 - 00030408 _____ () C:\Users\Вовчик\AppData\Local\ListHost12.txt
2015-03-01 13:27 - 2015-03-01 13:27 - 00000000 ____D () C:\Users\Вовчик\AppData\Local\Bron.tok-12-1
2015-02-20 07:51 - 2015-02-20 07:51 - 00000040 _____ () C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-02-20 07:51 - 2015-02-20 07:51 - 00000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-02-20 06:17 - 2015-03-07 16:36 - 00000418 _____ () C:\Windows\Tasks\newSI_637.job
2015-02-20 06:17 - 2015-03-07 16:36 - 00000418 _____ () C:\Windows\Tasks\newSI_632.job
2015-02-20 06:17 - 2015-03-07 16:36 - 00000418 _____ () C:\Windows\Tasks\newSI_620.job
2015-02-20 06:17 - 2015-02-20 06:17 - 00003108 _____ () C:\Windows\System32\Tasks\newSI_637
2015-02-20 06:17 - 2015-02-20 06:17 - 00003108 _____ () C:\Windows\System32\Tasks\newSI_632
2015-02-20 06:17 - 2015-02-20 06:17 - 00003108 _____ () C:\Windows\System32\Tasks\newSI_620
2015-02-20 06:17 - 2015-02-20 06:17 - 00000000 ____D () C:\Users\Вовчик\AppData\Roaming\newSI_637
2015-02-20 06:17 - 2015-02-20 06:17 - 00000000 ____D () C:\Users\Вовчик\AppData\Roaming\newSI_632
2015-02-20 06:17 - 2015-02-20 06:17 - 00000000 ____D () C:\Users\Вовчик\AppData\Roaming\newSI_620
2015-02-20 06:16 - 2015-03-07 16:36 - 00000418 _____ () C:\Windows\Tasks\newSI_645.job
2015-02-20 06:16 - 2015-03-07 16:36 - 00000418 _____ () C:\Windows\Tasks\newSI_636.job
2015-03-07 16:43 - 2009-07-14 08:45 - 00026352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-03-07 16:43 - 2009-07-14 08:45 - 00026352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-02-15 00:30 - 2015-01-13 18:16 - 00000235 _____ () C:\Windows\SysWOW64\removeSAddons.bat
2015-02-20 07:51 - 2015-02-20 07:51 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-01-27 09:28 - 2015-01-27 09:28 - 6220854 _____ () C:\Users\Вовчик\AppData\Roaming\02D0255D02D0255D.bmp
2015-01-26 14:28 - 2015-01-26 14:28 - 0442896 _____ () C:\Users\Вовчик\AppData\Roaming\data13.dat
2014-09-04 01:36 - 2014-09-04 01:36 - 0002086 _____ () C:\Users\Вовчик\AppData\Roaming\KAVFKEW
2015-01-13 18:16 - 2015-01-13 18:16 - 0000001 _____ () C:\Users\Вовчик\AppData\Roaming\smw_inst
2015-01-26 14:28 - 2015-01-26 14:28 - 0442880 _____ () C:\Users\Вовчик\AppData\Roaming\ssleas.exe
2014-09-04 01:36 - 2014-09-04 01:36 - 0001248 _____ () C:\Users\Вовчик\AppData\Roaming\UPMUZZ
2015-03-08 14:35 - 2015-03-08 14:35 - 0030412 _____ () C:\Users\Вовчик\AppData\Local\Bron.tok.A12.em.bin
2011-10-06 17:29 - 2012-04-17 11:11 - 0042687 _____ () C:\Users\Вовчик\AppData\Local\csrss.exe
2011-10-06 17:29 - 2012-04-17 11:11 - 0042687 _____ () C:\Users\Вовчик\AppData\Local\inetinfo.exe
2015-03-01 19:16 - 2015-03-01 19:16 - 0000051 _____ () C:\Users\Вовчик\AppData\Local\Kosong.Bron.Tok.txt
2015-03-01 13:27 - 2015-03-01 13:27 - 0030408 _____ () C:\Users\Вовчик\AppData\Local\ListHost12.txt
2011-10-06 17:29 - 2012-04-17 11:11 - 0042687 _____ () C:\Users\Вовчик\AppData\Local\lsass.exe
2014-12-17 20:53 - 2014-12-17 20:53 - 0613057 _____ (CMI Limited) C:\Users\Вовчик\AppData\Local\nsnDAC7.tmp
2011-10-06 17:29 - 2012-04-17 11:11 - 0042687 _____ () C:\Users\Вовчик\AppData\Local\services.exe
2011-10-06 17:29 - 2012-04-17 11:11 - 0042687 _____ () C:\Users\Вовчик\AppData\Local\smss.exe
2015-03-08 14:40 - 2015-03-08 14:40 - 0030412 _____ () C:\Users\Вовчик\AppData\Local\Update.12.Bron.Tok.bin
2011-10-06 17:29 - 2012-04-17 11:11 - 0042687 ____N () C:\Users\Вовчик\AppData\Local\winlogon.exe
C:\Users\Вовчик\AppData\Local\Temp\2A10A868-0A97-2FC9-679F-5F5FE6324AF9.dll
C:\Users\Вовчик\AppData\Local\Temp\2A10A868-0A97-2FC9-679F-5F5FE6324AF9.exe
C:\Users\Вовчик\AppData\Local\Temp\2TYcmjYtmms0.exe
C:\Users\Вовчик\AppData\Local\Temp\5m8jIw16HMYs.exe
C:\Users\Вовчик\AppData\Local\Temp\6KJU8ZH6694B.exe
C:\Users\Вовчик\AppData\Local\Temp\a4uJ4VV4G7PW.exe
C:\Users\Вовчик\AppData\Local\Temp\a53xPahbEMJt.exe
C:\Users\Вовчик\AppData\Local\Temp\A8C372BE-B4A4-48E6-B5BE-9311CE053084.exe
C:\Users\Вовчик\AppData\Local\Temp\accesspoint_11725045.2.1.exe
C:\Users\Вовчик\AppData\Local\Temp\APNSetup.exe
C:\Users\Вовчик\AppData\Local\Temp\aTB42V3NHc0R.exe
C:\Users\Вовчик\AppData\Local\Temp\baidu.exe
C:\Users\Вовчик\AppData\Local\Temp\bcbhcabecbgh.exe
C:\Users\Вовчик\AppData\Local\Temp\BingBarSetup-Partner.exe
C:\Users\Вовчик\AppData\Local\Temp\CeruN0YycS9H.exe
C:\Users\Вовчик\AppData\Local\Temp\cNhlDFWB4YVR.exe
C:\Users\Вовчик\AppData\Local\Temp\F1023_s_30768.exe
C:\Users\Вовчик\AppData\Local\Temp\fjm9YGqnR2Sa.exe
C:\Users\Вовчик\AppData\Local\Temp\G1023_s_71023.exe
C:\Users\Вовчик\AppData\Local\Temp\HdtwI8yQM0YX.exe
C:\Users\Вовчик\AppData\Local\Temp\IAv7ivYdGRbW.exe
C:\Users\Вовчик\AppData\Local\Temp\jre-8u31-windows-au.exe
C:\Users\Вовчик\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Вовчик\AppData\Local\Temp\MJQ3mShWqpFb.exe
C:\Users\Вовчик\AppData\Local\Temp\N9wlgSO1kHsN.exe
C:\Users\Вовчик\AppData\Local\Temp\net27EC.tmp.exe
C:\Users\Вовчик\AppData\Local\Temp\ozR6ado8rsOz.exe
C:\Users\Вовчик\AppData\Local\Temp\PhJk0kaqvCV1.exe
C:\Users\Вовчик\AppData\Local\Temp\Quarantine.exe
C:\Users\Вовчик\AppData\Local\Temp\R5x2BvXM2xOG.exe
C:\Users\Вовчик\AppData\Local\Temp\sender.exe
C:\Users\Вовчик\AppData\Local\Temp\SpOrder.dll
C:\Users\Вовчик\AppData\Local\Temp\sqlite3.dll
C:\Users\Вовчик\AppData\Local\Temp\T9Udp5NPHzzJ.exe
C:\Users\Вовчик\AppData\Local\Temp\tmp8409.exe
C:\Users\Вовчик\AppData\Local\Temp\tmp8429.exe
C:\Users\Вовчик\AppData\Local\Temp\tmp880F.exe
C:\Users\Вовчик\AppData\Local\Temp\tu17p84.exe
C:\Users\Вовчик\AppData\Local\Temp\txKaTTKYpxDk.exe
C:\Users\Вовчик\AppData\Local\Temp\XiHi0xNfrCrp.exe
C:\Users\Вовчик\AppData\Local\Temp\XMl5PbioHbHM.exe
C:\Users\Вовчик\AppData\Local\Temp\YandexDownloader.exe
C:\Users\Вовчик\AppData\Local\Temp\YPM6ZGE7D9J4.exe
C:\Users\Вовчик\AppData\Local\Temp\ZaxarSetup.4.001.30.exe
2015-03-01 13:27 - 2015-03-01 13:27 - 00030408 ____A C:\Windows\system32\Drivers\etc\hosts
Task: {1430689A-798D-45D2-8DEB-82EFE1869BE4} - System32\Tasks\newSI_636 => C:\Users\Вовчик\AppData\Roaming\newSI_636\s_inst.exe [2015-01-26] ()
EmptyTemp:

Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Приложите также стандартные логи автологгера.