Зашифровали файлы, xtbl

[CinereoFilius]

Добрый день!

Файлы были зашифрованы. На рабочем столе заставка с надписью "Все важные файлы на всех дисках вашего компьютера были зашифрованы"

Файл Readme:

"Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

FAA515DB748675825697|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."

Помогите пожалуйста!

CollectionLog-2015.07.03-22.03.zip

[Roman_Five]

Baidu сами ставили или нет?

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('C:\Users\Компьютер\AppData\Local\Temp\98F47F0-2BD1652-C6236C1C-60C826C2\xOd79FPcwrbq.exe');
 TerminateProcessByName('c:\users\Компьютер\downloads\tm5t0b8r.exe');
 TerminateProcessByName('c:\users\Компьютер\appdata\local\temp\temp54169652.exe');
 TerminateProcessByName('c:\users\Компьютер\appdata\roaming\ssleas.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\users\Компьютер\appdata\roaming\cppredistx86.exe');
 TerminateProcessByName('c:\users\компьютер\appdata\local\temp\98f47f0-2bd1652-c6236c1c-60c826c2\amqomabpuxx.exe');
 QuarantineFile('C:\Users\Компьютер\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
 QuarantineFile('C:\Users\Компьютер\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 QuarantineFile('C:\Users\Компьютер\AppData\Local\SystemDir\nethost.exe','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\Компьютер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif','');
 QuarantineFile('C:\Users\4D2B~1\AppData\Local\Temp\temp54169652.exe','');
 QuarantineFile('C:\Users\4D2B~1\AppData\Local\Temp\2262E9493.sys','');
 QuarantineFile('c:\users\компьютер\appdata\local\temp\98F47F0-2BD1652-C6236C1C-60C826C2\1ece5250e.sys','');
 QuarantineFile('C:\Users\Компьютер\AppData\Local\Temp\98F47F0-2BD1652-C6236C1C-60C826C2\xOd79FPcwrbq.exe','');
 QuarantineFile('c:\users\Компьютер\downloads\tm5t0b8r.exe','');
 QuarantineFile('c:\users\Компьютер\appdata\local\temp\temp54169652.exe','');
 QuarantineFile('c:\users\Компьютер\appdata\roaming\ssleas.exe','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 QuarantineFile('c:\users\Компьютер\appdata\roaming\cppredistx86.exe','');
 QuarantineFile('c:\users\компьютер\appdata\local\temp\98f47f0-2bd1652-c6236c1c-60c826c2\amqomabpuxx.exe','');
 DeleteFile('c:\users\компьютер\appdata\local\temp\98f47f0-2bd1652-c6236c1c-60c826c2\amqomabpuxx.exe','32');
 DeleteFile('c:\users\Компьютер\downloads\tm5t0b8r.exe','32');
 DeleteFile('C:\Users\Компьютер\AppData\Local\Temp\98F47F0-2BD1652-C6236C1C-60C826C2\xOd79FPcwrbq.exe','32');
 DeleteFile('c:\users\компьютер\appdata\local\temp\98F47F0-2BD1652-C6236C1C-60C826C2\1ece5250e.sys','32');
 DeleteFile('C:\Users\4D2B~1\AppData\Local\Temp\2262E9493.sys','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Users\4D2B~1\AppData\Local\Temp\temp54169652.exe','32');
 DeleteFile('C:\Users\Компьютер\AppData\Local\Temp\temp54169652.exe','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
 DeleteFile('C:\Windows\system32\Tasks\{85F2C585-3D18-47E6-935B-E8ED4E6412C5}','64');
 DeleteFile('C:\Users\Компьютер\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
 DeleteFile('C:\Users\Компьютер\appdata\local\systemdir\nethost.exe','32');
 DeleteFile('C:\Users\Компьютер\appdata\roaming\cppredistx86.exe','32');
 DeleteFile('C:\Users\Компьютер\appdata\roaming\microsoft\windows\start menu\programs\startup\system.pif','32');
 DeleteFile('C:\Users\Компьютер\appdata\roaming\ssleas.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ndysckkeow');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportChecker');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TimeNotifyer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nqaqeba.ru/?utm_source=startpage03&utm_content=c08d131bc9bf107f5cf4658225c11c43
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1417353754&from=amt&uid=395049983_397233_888B2C3F&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1417353754&from=amt&uid=395049983_397233_888B2C3F&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}

R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - (no file)
O4 - HKCU\..\Run: [ndysckkeow] explorer "http://nqaqeba.ru/?utm_source=uoua03&utm_content=f8ca5e5243607ca28d083ee858c11fa5"
O4 - HKCU\..\Run: [Microsoft Visual C++ 2010] C:\Users\Компьютер\AppData\Roaming\cppredistx86.exe
O4 - HKCU\..\Run: [Client Server Runtime Subsystem] "C:\ProgramData\Windows\csrss.exe"
O4 - HKCU\..\Run: [CrashReportChecker] C:\Users\4D2B~1\AppData\Local\Temp\temp54169652.exe
O4 - HKCU\..\Run: [TimeNotifyer] C:\Users\Компьютер\AppData\Local\Temp\temp54169652.exe
O4 - Startup: system.pif = ?

 

Сделайте новые логи по правилам (только пункт 2).

[CinereoFilius]

Baidu установился сам и удалить его долго не удавалось, сколько не было приложено попыток.
 
Ответ с портала: 
"Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

csrss.exe - Trojan.Win32.Fsysna.ccuv
temp54169652.exe - Backdoor.Win32.Hlux.fboj

Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского"

CollectionLog-2015.07.04-10.08.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[CinereoFilius]

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
IFEO\icq.exe: [Debugger] "I:\Катя\Программы\TuneUp Utilities 2012\TUAutoReactivator64.exe"
IFEO\icqsetup.exe: [Debugger] "I:\Катя\Программы\TuneUp Utilities 2012\TUAutoReactivator64.exe"
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-464310558-1883164347-3381844094-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1417353754&from=amt&uid=395049983_397233_888B2C3F&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1417353754&from=amt&uid=395049983_397233_888B2C3F&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417353754&from=amt&uid=395049983_397233_888B2C3F&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417353754&from=amt&uid=395049983_397233_888B2C3F&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}
SearchScopes: HKU\S-1-5-21-464310558-1883164347-3381844094-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=50d030aa9f50c5c5c7e35a04536515d5&text={searchTerms}
SearchScopes: HKU\S-1-5-21-464310558-1883164347-3381844094-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=50d030aa9f50c5c5c7e35a04536515d5&text=
SearchScopes: HKU\S-1-5-21-464310558-1883164347-3381844094-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}
SearchScopes: HKU\S-1-5-21-464310558-1883164347-3381844094-1000 -> {8D5F0C1D-C9B2-49D0-A15C-60414B9D6E02} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^UA&gct=sb&itbv=12.21.0.114&apn_uid=C3D080A4-78A1-48C4-8E7E-D802B94DE5FC&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^UA&apn_dbr=ie&doi=2014-12-05&trgb=IE&q={searchTerms}&psv=&pt=tb
Toolbar: HKU\S-1-5-21-464310558-1883164347-3381844094-1000 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} -  No File
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.delta-homes.com/?type=sc&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F
R2 BDSGRTP; C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe [1931880 2014-11-24] (????????????????)
S2 BDKVRTP; "C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\baidusdSvc.exe" -r [X]
S2 BDMRTP; "C:\Program Files (x86)\BaiduAn3.0\BaiduAn\3.0.0.3971\BaiduAnSvc.exe" -r [X]
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [202576 2014-12-22] (Baidu)
R1 bd0001; C:\Windows\SysWOW64\DRIVERS\bd0001.sys [202576 2014-12-22] (Baidu)
S1 bd0002; C:\Windows\SysWOW64\DRIVERS\bd0002.sys [196936 2014-12-22] (Baidu)
R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [169288 2014-11-24] (Baidu)
R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [152392 2014-12-28] (Baidu Technology)
R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [130888 2014-12-23] (Baidu)
S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]
S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
S1 BDSafeBrowser; system32\drivers\BDSafeBrowser.sys [X]
2015-07-04 10:59 - 2014-11-17 07:15 - 00041800 _____ (Baidu) C:\Windows\system32\bd64_x64.dll
2015-07-04 10:59 - 2014-11-17 07:15 - 00039056 _____ (Baidu) C:\Windows\system32\bd64_x86.dll
2015-07-03 22:25 - 2015-07-03 22:25 - 00000000 ____D C:\Device
2015-07-03 21:57 - 2015-07-03 21:57 - 03932214 _____ C:\Users\Компьютер\AppData\Roaming\D2B2581DD2B2581D.bmp
2015-07-03 21:48 - 2015-07-04 10:08 - 00000000 ____D C:\Users\Компьютер\Downloads\AutoLogger
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README9.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README8.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README7.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README6.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README5.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README4.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README3.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README2.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README10.txt
2015-07-03 19:44 - 2015-07-04 09:19 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-03 19:44 - 2015-07-04 09:19 - 00000000 __SHD C:\ProgramData\Windows
2015-07-03 19:38 - 2015-07-03 19:38 - 00371216 _____ C:\Users\Компьютер\AppData\Roaming\data13.dat
2015-07-03 19:38 - 2015-07-03 19:38 - 00371200 _____ C:\Users\Компьютер\AppData\Roaming\ssleas.exe
2015-07-03 12:17 - 2014-07-07 02:15 - 00382464 ____N C:\Users\Компьютер\AppData\Roaming\cppredistx86.exe
2015-06-30 18:39 - 2015-07-03 22:25 - 00000000 ____D C:\Users\Компьютер\AppData\Local\SystemDir
FirewallRules: [{5168D002-4C30-4F11-8886-ADB975A5D56D}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{71832142-ED8D-4045-826E-E5191A404360}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{0A5930DE-13E3-4F0C-8CE0-A40916F54A37}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{5D3805AA-EE2E-4D5E-8C63-4D5FA2636895}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{341D8A55-09F4-43DA-BCC7-C0DB3CCE2718}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{E167CE89-7D87-4B17-8C8C-21DFF808B459}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{45530E3D-98C1-420C-854F-E8B8DFB9862A}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{E2831DC2-0A65-4292-89C4-BB2D4CDE0026}] => (Allow) C:\Program Files (x86)\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdUProxy64.exe
FirewallRules: [{9C7317D7-E0D8-4E00-8ED0-407F3AF07B95}] => (Allow) C:\Program Files (x86)\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdUProxy64.exe
FirewallRules: [{0FEAFA2D-9A9D-4C0E-B8BC-ECC2A2E84E76}] => (Allow) C:\Program Files (x86)\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdUProxy64.exe
FirewallRules: [{5F155920-0DD7-4680-B601-8E9112D29DC8}] => (Allow) C:\Program Files (x86)\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdUProxy64.exe
FirewallRules: [{569423B7-95B7-4A1B-AB0B-D68ADF8C7A52}] => (Allow) C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdUProxy64.exe
FirewallRules: [{8D5E61DE-A77A-440B-8807-18D030271144}] => (Allow) C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdUProxy64.exe
FirewallRules: [{0642191D-392A-45BE-94F5-7102DD7EC91B}] => (Allow) C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdUProxy64.exe
FirewallRules: [{BF5D0AED-3CD7-41CC-A4E6-0C9A8D9578B2}] => (Allow) C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdUProxy64.exe
FirewallRules: [{E07DCD52-A9E1-4377-A580-5EF5168BCE5E}] => (Allow) C:\Program Files (x86)\Media Saver\Basement\MSLServer.exe
2014-11-24 15:54 - 2014-11-17 07:15 - 00444744 _____ () C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\bdsg0002.dll
Task: {77D72AD7-3871-4A36-888F-3210D329590E} - \{85F2C585-3D18-47E6-935B-E8ED4E6412C5} No Task File <==== ATTENTION
Task: {2436A221-5516-49B0-A944-157825665D63} - \nethost task No Task File <==== ATTENTION
C:\Program Files (x86)\Common Files\Baidu
C:\Program Files (x86)\BaiduSd2.1
C:\Program Files (x86)\BaiduSd3.0
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

   

   

• Обратите внимание, что компьютер будет перезагружен.

   

   

[CinereoFilius]

Лог

Fixlog.txt

[thyrex]

С расшифровкой не поможем

[CinereoFilius]

С расшифровкой не поможем

Как тогда быть? Теневых копий нет, но может еще есть способы? 

 

С расшифровкой не поможем

Как тогда быть? Теневых копий нет, но может еще есть способы? 

 

Еще вопрос: это все? То есть, на данный момент компьютер чист? 

[thyrex]

Мусор почистили

 

С расшифровкой помогут только злодеи

[CinereoFilius]

Мусор почистили

 

С расшифровкой помогут только злодеи

Не знаю даже как благодарить! За проделанную Вами работу просто огромнейшие спасибо!