Видео и фото изменились на тип фаила "XTBL"

[Алан Сугкоев]

Все названия изменились на длинные и случайные.Дата изменения файлов у всех одна и та же 08.07.2015.

Установлен антивирус.Скачивал ли что то в то время не помню.

CollectionLog-2016.05.02-14.43.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}');
 DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
 DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
 DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
 DelBHO('{d40c654d-7c51-4eb3-95b2-1e23905c2a2d}');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DelBHO('{11111111-1111-1111-1111-110611171152}');
 DelBHO('{103138c7-684c-4f58-9461-6e0fe42370a5}');
 DeleteService('RegFltrX64');
 DeleteService('WinRST');
 DeleteService('PirritDesktop');
 DeleteService('MaintainerSvc2.49.6826863');
 DeleteService('globalUpdatem');
 DeleteService('globalUpdate');
 DeleteService('FirmwareJREQuick.exe');
 DeleteService('DockOfficeWord.exe');
 DeleteService('4cac413c7576ba9.exe');
 DeleteService('3ecafa248267612.exe');
 DeleteFile('C:\ProgramData\PymEacVPeTZJY\UnpNvM5.bat','32');
 DeleteFile('C:\Windows\Tasks\54ffd6c1-e346-4741-b2c1-a97b5517bbf7-1.job','32');
 DeleteFile('C:\Windows\Tasks\54ffd6c1-e346-4741-b2c1-a97b5517bbf7-11.job','32');
 DeleteFile('C:\Windows\Tasks\54ffd6c1-e346-4741-b2c1-a97b5517bbf7-4.job','32');
 DeleteFile('C:\Windows\Tasks\54ffd6c1-e346-4741-b2c1-a97b5517bbf7-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\cce36867-7808-4f49-b661-cd4459ca7466-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\cce36867-7808-4f49-b661-cd4459ca7466-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\cce36867-7808-4f49-b661-cd4459ca7466-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\cce36867-7808-4f49-b661-cd4459ca7466-11.job','32');
 DeleteFile('C:\Windows\Tasks\cce36867-7808-4f49-b661-cd4459ca7466-4.job','32');
 DeleteFile('C:\Windows\Tasks\cce36867-7808-4f49-b661-cd4459ca7466-5.job','32');
 DeleteFile('C:\Windows\Tasks\cce36867-7808-4f49-b661-cd4459ca7466-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\Tasks\fd44abcc-5d39-4c89-bb8c-d4238e555e19.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\system32\Tasks\54ffd6c1-e346-4741-b2c1-a97b5517bbf7-1','64');
 DeleteFile('C:\Windows\system32\Tasks\54ffd6c1-e346-4741-b2c1-a97b5517bbf7-11','64');
 DeleteFile('C:\Windows\system32\Tasks\54ffd6c1-e346-4741-b2c1-a97b5517bbf7-4','64');
 DeleteFile('C:\Windows\system32\Tasks\Auslogics\BoostSpeed\Scan and Repair','64');
 DeleteFile('C:\Windows\system32\Tasks\BlockAndSurf Update','64');
 DeleteFile('C:\Windows\system32\Tasks\cce36867-7808-4f49-b661-cd4459ca7466-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\cce36867-7808-4f49-b661-cd4459ca7466-1-7','64');
 DeleteFile('C:\Windows\system32\Tasks\cce36867-7808-4f49-b661-cd4459ca7466-4','64');
 DeleteFile('C:\Windows\system32\Tasks\cce36867-7808-4f49-b661-cd4459ca7466-5','64');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\LaunchApp','64');
 DeleteFile('C:\Windows\system32\Tasks\{3A38701E-9922-46F1-A81B-CE423076EF71}','64');
 DeleteFile('C:\Windows\system32\Tasks\{79C03271-3236-4B38-B16A-54CB3B27F1FC}','64');
 DeleteFile('C:\Windows\system32\Tasks\{A4A110A8-8D33-4D12-A04F-B304F6490DD6}','64');
 DeleteFile('C:\Windows\system32\Tasks\{A93878E3-3214-4AA6-A6B3-6D4F9F55ECBE}','64');
 DeleteFile('C:\Windows\system32\Tasks\{EA434852-053E-4947-8C2E-49E63BEB6734}','64');
 DeleteFile('C:\Windows\system32\Tasks\{E756A955-2871-49B2-9705-6E4B27BE39F2}','64');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Алан Сугкоев]

Первый отчёт

Второй отчёт

ClearLNK-02.05.2016_15-43.log

AdwCleanerS1.txt

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Алан Сугкоев]

Всё сделал вот отчёт.

AdwCleanerC1.txt

[mike 1]

• Подготовьте лог OTL by OldTimer, как описано на этой странице, но только в пункте "File age" установите максимальное значение.
  
• Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  

 

[Алан Сугкоев]

Всё сделал.

Extras.Txt

OTL.Txt

[mike 1]

• Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
  

 

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

• В окно Custom Scans/Fixes скопируйте следующую информацию:
  

 

:processes

killallprocesses



:OTL

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\12x3q4@3244516.com: C:\Program Files (x86)\Better-Surf\ff

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ext@RichMediaViewV1release365.net: C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release365\ff [2014.05.13 23:29:04 | 000,000,000 | ---D | M]

[2014.03.24 10:43:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\home\AppData\Roaming\mozilla\Firefox\Profiles\ebhaj4lb.default\extensions

[2014.03.24 10:43:00 | 000,036,933 | ---- | M] () (No name found) -- C:\Users\home\AppData\Roaming\mozilla\firefox\profiles\ebhaj4lb.default\extensions\suggestor@suggestor.pirrit.com.xpi

[2015.01.08 16:24:02 | 000,001,147 | ---- | M] () -- C:\Users\home\AppData\Roaming\mozilla\firefox\profiles\ebhaj4lb.default\searchplugins\dsrlte.xml

[2015.03.19 01:22:06 | 000,001,219 | ---- | M] () -- C:\Users\home\AppData\Roaming\mozilla\firefox\profiles\ebhaj4lb.default\searchplugins\search-simple.xml

O2:[b]64bit:[/b] - BHO: (Internet Speed Checker) - {11111111-1111-1111-1111-110611171152} - Reg Error: Value error. File not found

O2:[b]64bit:[/b] - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - No CLSID value found.

O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found.

O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found.

O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found.

O3 - HKU\S-1-5-21-4260349591-3796936442-1776975816-1000\..\Toolbar\WebBrowser: (Спутник@Mail.Ru) - {09900DE8-1DCA-443F-9243-26FF581438AF} - Reg Error: Value error. File not found

MsConfig:64bit - State: "startup" - Reg Error: Key error.

[2016.04.29 23:21:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Update2343200959509

[2016.01.18 20:43:13 | 000,000,000 | ---D | C] -- C:\Users\home\AppData\Local\CrashDumps

[2015.10.16 14:52:40 | 000,000,000 | ---D | C] -- C:\ProgramData\SvgAqoY

[2015.10.16 14:52:39 | 000,000,000 | ---D | C] -- C:\ProgramData\VPXeoExNvPBWJvW

[2015.10.16 14:52:34 | 000,000,000 | ---D | C] -- C:\ProgramData\PymEacVPeTZJY

[2015.10.16 14:52:33 | 000,000,000 | ---D | C] -- C:\Users\home\AppData\Local\bggEPyAA



:Services

 

:Files

 

:Reg

 

:Commands

[purity]

[Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  

• Компьютер перезагрузится.
  

• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение.
  

 

[Алан Сугкоев]

Всё сделал как вы написали.

Вот отчёт.

05032016_003310.log

[mike 1]

Файл Readme.txt сохранился?

[Алан Сугкоев]

Да.

Диск С/_OTL/Moved files.

Имя файла: 05032016_003310

Там же папка с таким же названием.

[mike 1]

Лицензия на Антивирус Касперского у Вас есть?

[Алан Сугкоев]

нет.сейчас установлен avast.

И Adguard

Изменено 3 мая, 2016 пользователем Алан Сугкоев

[mike 1]

Ну тогда больше ничем не поможем. Обращайтесь в техподдержку Аваста за расшифровкой.