Зашифровались в .xtbl все фото и музыка

[Beldima]

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

8B4912429B46D3F3D233|0

на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

KVRTQ0000.rar

CollectionLog-2015.03.09-15.50.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\Лена\appdata\roaming\uvxrxke=\twunk_16.exe');
 TerminateProcessByName('c:\users\Лена\appdata\roaming\11318128\svchost.exe');
 QuarantineFile('C:\Users\Лена\appdata\roaming\rundll32.exe','');
 QuarantineFile('C:\Windows\winupdaterstd\svchost.exe','');
 QuarantineFile('C:\Windows\SysWOW64\csrss.exe','');
 QuarantineFile('C:\Users\Лена\M-5050260385760560206876\winmgr.exe','');
 QuarantineFile('C:\Users\Лена\M-254056840394860302040\winsvc.exe','');
 QuarantineFile('C:\Users\Лена\M-254056840394860245302040\winsvc.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\svchost.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\dsiswjtj\stijvidt.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\gupdater.exe','');
 QuarantineFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.exe','');
 QuarantineFile('C:\Users\1288~1\AppData\Roaming\msjvve.exe','');
 QuarantineFile('C:\Temp\A087.tmp.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\PROGRA~3\msjvve.exe','');
 QuarantineFile('C:\Windows\Installer\{F691014E-D16E-0233-D60B-10D1B5E97019}\syshost.exe','');
 QuarantineFile('c:\users\Лена\appdata\roaming\uvxrxke=\twunk_16.exe','');
 QuarantineFile('c:\users\Лена\appdata\roaming\11318128\svchost.exe','');
 DeleteFile('c:\users\Лена\appdata\roaming\11318128\svchost.exe','32');
 DeleteFile('C:\Windows\Installer\{F691014E-D16E-0233-D60B-10D1B5E97019}\syshost.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\PROGRA~3\msjvve.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Temp\A087.tmp.exe','32');
 DeleteFile('C:\Users\1288~1\AppData\Roaming\msjvve.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\Microsoft\Windows\gupdater.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\UVxRXkE=\twunk_16.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\dsiswjtj\stijvidt.exe','32');
 DeleteFile('C:\Users\Лена\AppData\Roaming\svchost.exe','32');
 DeleteFile('C:\Users\Лена\M-254056840394860245302040\winsvc.exe','32');
 DeleteFile('C:\Users\Лена\M-254056840394860302040\winsvc.exe','32');
 DeleteFile('C:\Users\Лена\M-5050260385760560206876\winmgr.exe','32');
 DeleteFile('C:\Windows\SysWOW64\csrss.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
 DeleteFile('C:\Windows\winupdaterstd\svchost.exe','32');
 DeleteFile('C:\Users\Лена\appdata\roaming\rundll32.exe','32');
 RegKeyResetSecurity('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run');
 RegKeyResetSecurity('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2361121036');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Systeams','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2361121036');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','twunk_16.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','JpegView');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\JpegView','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Service Host Process for Windows','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Services','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Service','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Windows Manager','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Host-process Windows (Rundll32.exe)','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','z64_kernel');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','z64_kernel');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteService('BAPIDRV');
 DeleteService('syshost32');   
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392036945&from=amt&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392036945&from=amt&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1402661108&from=wpm0612&uid=ST9250827AS_5RG8GNLBXXXX5RG8GNLB
O2 - BHO: ie2.BHO - {40aef60b-a6f8-4389-9003-a683dd75b850} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [update] C:\Users\Лена\AppData\Roaming\Microsoft\Windows\gupdater.exe
O4 - HKLM\..\Run: [twunk_16.exe] C:\Users\Лена\AppData\Roaming\UVxRXkE=\twunk_16.exe
O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
O4 - HKLM\..\Run: [z64_kernel] c:\users\Лена\appdata\roaming\11318128\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [2361121036] C:\PROGRA~3\msjvve.exe
O4 - HKLM\..\Policies\Explorer\Run: [z64_kernel] c:\users\Лена\appdata\roaming\11318128\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [JpegView] C:\Users\Лена\AppData\Roaming\dsiswjtj\stijvidt.exe
O4 - HKCU\..\Policies\Explorer\Run: [2361121036] C:\Users\1288~1\AppData\Roaming\msjvve.exe
O4 - Startup: update.exe

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи Автологгером. 

 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Beldima]

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

 

A087.tmp.exe,

stijvidt.exe - Trojan.Win32.Crypt.dfh

csrss.exe,

rundll32.exe,

svchost_0.exe - Trojan.Win32.Reconyc.dvmv

gupdater.exe,

update.exe - Trojan-Ransom.Win32.Foreign.lxrn

msjvve.exe - Backdoor.Win32.Zegost.dfxh

svchost.exe - Trojan.Win32.Yakes.jrwy

svchost_1.exe - Trojan.Win32.Reconyc.duwg

twunk_16.exe - Backdoor.Win32.Androm.giws

winmgr.exe - Trojan.Win32.Inject.uobn

winsvc.exe - Trojan.Win32.Inject.unyr

winsvc_0.exe - Trojan.Win32.Inject.sbpq

 

Детектирование файлов будет добавлено в следующее обновление.

 

С уважением, Лаборатория Касперского

 

KLAN-2713772323

AdwCleanerR0.txt

ClearLNK-26.04.2015_09-54.log

hijackthis.log

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Beldima]

Отчет после удаления ненужных папок в ADWCleaner.

AdwCleanerS1.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Beldima]

Результат работы FRST64.

Addition.txt

FRST.txt

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [update] => C:\Users\Лена\AppData\Roaming\Microsoft\Windows\gupdater.exe
HKLM-x32\...\Run: [twunk_16.exe] => C:\Users\Лена\AppData\Roaming\UVxRXkE=\twunk_16.exe
HKLM-x32\...\Run: [ZaxarLoader] => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
HKLM-x32\...\Run: [z64_kernel] => c:\users\Лена\appdata\roaming\11318128\svchost.exe
HKU\S-1-5-21-603050476-3827020187-3617320232-1000\...\Winlogon: [Shell] C:\Users\Лена\AppData\Roaming\focus.3ds [39424 2013-11-24] () <==== ATTENTION 
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-603050476-3827020187-3617320232-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF Extension: No Name -  C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha1565\ff [Not Found]
FF Extension: No Name -  C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home808\ff [Not Found]
FF Extension: No Name -  C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode2873\ff [Not Found]
FF Extension: No Name -  C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found]
FF Extension: No Name - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\helper@helper [Not Found]
FF Extension: No Name - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [Not Found]
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
2026-09-23 17:47 - 2026-09-23 17:48 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\extension
2015-03-09 12:16 - 2015-04-25 20:05 - 00000000 _RSHD () C:\Users\Лена\M-254056840394860245302040
2015-03-09 09:51 - 2015-04-25 20:05 - 00000000 _RSHD () C:\Users\Лена\M-5050260385760560206876
2015-03-08 17:08 - 2015-03-08 17:08 - 00000000 _RSHD () C:\Users\Лена\M-50502603857602846570206876
2015-03-08 14:34 - 2015-04-25 20:05 - 00000000 _RSHD () C:\Users\Лена\M-254056840394860302040
2015-03-08 14:33 - 2015-03-09 09:50 - 00000000 ____H () C:\Users\Лена\AppData\Roaming\winmgr.txt
2015-03-08 14:32 - 2015-03-08 14:32 - 00000000 _RSHD () C:\Users\Лена\M-5050260385902846570206876
2015-03-05 13:51 - 2015-03-05 19:30 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\fesbo
2015-03-05 07:44 - 2015-03-05 07:44 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\GemWare
2015-03-05 07:35 - 2015-03-05 18:34 - 00000624 _____ () C:\Users\Лена\AppData\Roaming\focus.tga
2015-03-05 07:35 - 2015-03-05 07:35 - 00013832 _____ () C:\Users\Лена\AppData\Roaming\92007b47dda0fd7.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 00013832 _____ () C:\Users\Лена\AppData\Roaming\80a04047ef55c4d.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 00013832 _____ () C:\Users\Лена\AppData\Roaming\3da046029984bfa.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 00013832 _____ () C:\Users\Лена\AppData\Roaming\38c04b86236ab02.xml
2015-03-05 07:32 - 2015-03-05 19:50 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\Microsoft Update
2015-03-04 12:25 - 2015-02-15 21:36 - 00061678 ____H () C:\Users\Default\AppData\Roaming\fx.exe
2015-03-04 12:25 - 2015-02-15 21:36 - 00061678 ____H () C:\Users\Default User\AppData\Roaming\fx.exe
2015-03-04 12:25 - 2014-10-14 11:28 - 01419264 ___RH () C:\Users\Default\AppData\Roaming\dotnetfx32.exe
2015-03-04 12:25 - 2014-10-14 11:28 - 01419264 ___RH () C:\Users\Default User\AppData\Roaming\dotnetfx32.exe
2015-03-02 11:26 - 2015-03-02 11:26 - 00000722 __RSH () C:\Users\Лена\ntuser.pol
2015-02-27 07:31 - 2015-04-25 20:05 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\11318128
2015-02-17 07:37 - 2015-02-17 07:37 - 03072054 _____ () C:\Users\Лена\AppData\Roaming\314E5C7E314E5C7E.bmp
2015-02-16 22:32 - 2015-03-05 19:50 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-02-16 22:32 - 2015-03-05 19:50 - 00000000 __SHD () C:\ProgramData\Windows
2015-04-25 20:06 - 2013-11-24 10:03 - 00000000 __SHD () C:\Users\Лена\AppData\Roaming\dsiswjtj
2014-02-10 16:30 - 2014-02-10 16:30 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-02-17 07:37 - 2015-02-17 07:37 - 3072054 _____ () C:\Users\Лена\AppData\Roaming\314E5C7E314E5C7E.bmp
2015-03-05 07:35 - 2015-03-05 07:35 - 0013832 _____ () C:\Users\Лена\AppData\Roaming\38c04b86236ab02.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 0013832 _____ () C:\Users\Лена\AppData\Roaming\3da046029984bfa.xml
2015-03-05 13:51 - 2015-03-05 13:51 - 0334848 _____ (Igor Pavlov) C:\Users\Лена\AppData\Roaming\7z.dll
2015-03-05 07:35 - 2015-03-05 07:35 - 0013832 _____ () C:\Users\Лена\AppData\Roaming\80a04047ef55c4d.xml
2015-03-05 07:35 - 2015-03-05 07:35 - 0013832 _____ () C:\Users\Лена\AppData\Roaming\92007b47dda0fd7.xml
2013-11-24 10:03 - 2013-11-24 10:03 - 0039424 _____ () C:\Users\Лена\AppData\Roaming\focus.3ds
2015-03-05 07:35 - 2015-03-05 18:34 - 0000624 _____ () C:\Users\Лена\AppData\Roaming\focus.tga
2015-03-05 13:51 - 2015-03-05 13:51 - 0684032 _____ (The OpenSSL Project, http://www.openssl.org/) C:\Users\Лена\AppData\Roaming\libeay32.dll
2015-03-05 13:51 - 2015-03-05 13:51 - 0150528 _____ (The OpenSSL Project, http://www.openssl.org/) C:\Users\Лена\AppData\Roaming\ssleay32.dll
2014-04-04 20:52 - 2014-09-10 18:39 - 0000826 _____ () C:\Users\Лена\AppData\Roaming\tlauncher.rmo.cfg
2015-03-08 14:33 - 2015-03-09 09:50 - 0000000 ____H () C:\Users\Лена\AppData\Roaming\winmgr.txt
Task: {9188F79A-B6C7-47CC-972D-9C9DC5206D8C} - \Kinoroom Browser No Task File <==== ATTENTION
Task: {E48442BE-845A-46C9-98B8-5357EDEF6F24} - \kbrowser-updater-utility No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B
FirewallRules: [{06E53A54-390B-4CC7-8AB9-1D6ED8771A85}] => (Allow) c:\users\Лена\appdata\roaming\11318128\svchost.exe
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-5050260385902846570206876\winmgr.exe] => Enabled:Microsoft Windows Manager
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-254056840394860302040\winsvc.exe] => Enabled:Microsoft Windows Service
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-50502603857602846570206876\winmgr.exe] => Enabled:Microsoft Windows Manager
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-5050260385760560206876\winmgr.exe] => Enabled:Microsoft Windows Manager
StandardProfile\AuthorizedApplications: [C:\Users\Лена\M-254056840394860245302040\winsvc.exe] => Enabled:Microsoft Windows Services

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[Beldima]

Результат работы FRST64.

Fixlog.txt

[mike 1]

Еще раз логи Farbar сделайте

[Beldima]

Повторный результат работы FRST64.

FRST (2).txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

FF Extension: No Name -  C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha1565\ff [Not Found]

FF Extension: No Name -  C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home808\ff [Not Found]

FF Extension: No Name -  C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode2873\ff [Not Found]

FF Extension: No Name -  C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found]

FF Extension: No Name - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\helper@helper [Not Found]

FF Extension: No Name - C:\Users\Лена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [Not Found]

FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home808.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home808\ff

FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release76.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release76\ff

2015-03-03 07:20 - 2015-03-03 07:20 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\CryptoDB

2015-03-02 11:27 - 2015-03-05 07:44 - 00000000 ____D () C:\Users\Лена\AppData\Roaming\LiteDB

Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

[Beldima]

Повторный результат работы FRST64.

Fixlog (2).txt

[mike 1]

Логи в порядке. С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188