Прошу помогите в расшифровке .XTBL

[Будущий никто]

Прошу помогите и мне, сделал 2 лога как и указывали выше, заранее спасибо за помощь.

Addition_27-08-2015_22-34-08.txt

FRST_27-08-2015_22-34-08.txt

[thyrex]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Будущий никто]

Вот логи из FRST, прошу сделайте все возможное) заранее благодарен)

Addition_27-08-2015_22-34-08.txt

FRST_27-08-2015_22-34-08.txt

[MotherBoard]

Порядок оформления запроса о помощи

[Будущий никто]

Я все это сделал

 

 

[Mark D. Pearlstone]

@Будущий никто, не сделали. Вы не выложили тот отчёт, который там требуется.

[Будущий никто]

вот все сделал)

CollectionLog-2015.08.28-15.05.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\HOME\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
QuarantineFile('C:\Users\HOME\AppData\Roaming\cppredistx86.exe','');
QuarantineFile('C:\Users\HOME\AppData\Roaming\Browsers\exe.arepo.bat','');
DeleteFile('C:\Users\HOME\AppData\Roaming\Browsers\exe.arepo.bat','32');
DeleteFile('C:\Users\HOME\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010','command');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vrxdgybjav');
DeleteFile('C:\Windows\Tasks\Recovery Tool for Video Saver 2.job','64');
DeleteFile('C:\Windows\Tasks\Recovery Tool for Video Saver 22.job','64');
DeleteFile('C:\Windows\Tasks\Update Service for Video Saver 2.job','64');
DeleteFile('C:\Windows\Tasks\Update Service for Video Saver 22.job','64');
DeleteFile('C:\Windows\system32\Tasks\Recovery Tool for Video Saver 2','64');
DeleteFile('C:\Windows\system32\Tasks\Recovery Tool for Video Saver 22','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for Video Saver 22','64');
DeleteFile('C:\Users\HOME\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Будущий никто]

 а где мне взять Check_Browsers_LNK.log?

[thyrex]

В папке с Autologger

[Будущий никто]

KLAN-3088578488 вроде все как вы сказали

ClearLNK-28.08.2015_16-10.log

CollectionLog-2015.08.28-16.17.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[Будущий никто]

вот, что дальше делать?

Addition.txt

FRST.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
Task: {81780ADC-EAB9-413D-8F01-F12326122B90} - \nethost task -> No File <==== ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-751630584-3385807616-1101712097-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://api.youqian.baidu.com/v1/nav?soft=12&uid=50102138&guid=d73a5dc38a45f78f933f448fe42e0041&vd=3700197476
HKU\S-1-5-21-751630584-3385807616-1101712097-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://torrentshop.ru/?utm_content=68d0652d0af1def0d888d8a30ee64a3e&utm_source=startpm&utm_term=C9256333D730B7BDB6F2CB3B38F27D57
FF Homepage: hxxp://torrentshop.ru/?utm_content=68d0652d0af1def0d888d8a30ee64a3e&utm_source=startpm&utm_term=C9256333D730B7BDB6F2CB3B38F27D57
OPR Extension: (Everysale.Net) - C:\Users\HOME\AppData\Roaming\Opera Software\Opera Stable\Extensions\iapdadaeaebaoigieglfababneoaifnf [2014-11-28]
OPR Extension: (Поделиться ВКонтакте) - C:\Users\HOME\AppData\Roaming\Opera Software\Opera Stable\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2015-01-11]
OPR Extension: (Quick Searcher SNG) - C:\Users\HOME\AppData\Roaming\Opera Software\Opera Stable\Extensions\lcljdijnknddleahijjbnmeladhihokc [2015-04-05]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\HOME\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-11-28]
S1 bd0001; C:\Windows\SysWOW64\DRIVERS\bd0001.sys [202704 2015-04-21] (Baidu)
S1 bd0002; C:\Windows\SysWOW64\DRIVERS\bd0002.sys [198600 2015-04-21] (Baidu)
S2 BDKVRTP; "C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\baidusdSvc.exe" -r [X]
S2 BDMRTP; "C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\baiduAnSvc.exe" -r [X]
S2 BDSGRTP; "C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.622\BaiduProtect.exe" -r [X]
S1 bd0004; system32\DRIVERS\bd0004.sys [X]
S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]
S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
S1 BDSafeBrowser; system32\drivers\BDSafeBrowser.sys [X]
2015-08-28 14:34 - 2015-01-11 18:11 - 00000000 ____D C:\Users\HOME\AppData\Local\SystemDir
2015-03-15 10:58 - 2015-03-15 10:58 - 0442896 _____ () C:\Users\HOME\AppData\Roaming\data13.dat
2015-04-01 10:10 - 2015-04-01 10:10 - 0000000 _____ () C:\Users\HOME\AppData\Roaming\ssleas.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.
  

[Будущий никто]

а как понять папка откуда была запущена Farbar я её скачал просто как .exe и она только на рабочем столе