Зашифровались все файлы в формат *.xtbl

Доброго времение суток!
Обращаюсь со следующей проблемой. У племянницы антивируса на ноутбуке не было. Ноутбук словил вирус, зашифровавший файлы в *.xtbl
На рабочем столе появилось 10 файлов README.txt с инструкциями:

"Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
1ACE7C1EC213DA1CB172|0
на электронный адрес [EMAIL="[email protected]"][email protected][/EMAIL] или [EMAIL="[email protected]"][email protected][/EMAIL] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
1ACE7C1EC213DA1CB172|0
to e-mail address [EMAIL="[email protected]"][email protected][/EMAIL] or [EMAIL="[email protected]"][email protected][/EMAIL].
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data."

Обои на рабочем столе сменились красной надписью на черном фоне следующего содержания:
"ВНИМАНИЕ! Все важные файлы на всех дисках вашего компьютера были зашифрованы.
Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков."

После этого было отправлено письмо с указанным кодом на первый адрес. Пришел ответ (есть фото) следующего содержания:
"Стоимость дешифровки 8000р. Пришлите 1 файл и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены.
В течении от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было."

Затем я принес на флешке свежий Dr.Web CureIt!, скопировал на рабочий стол и запустил его. Он обнаружил 80 угроз (есть фото). Обработал - переместил и лечил - только 78 . Параллельно пока CureIt! работал я удалял мне известные и ненужные программы и игры. Сменил обои на рабочем столе, при это файл с обоями мошенников исчез.
По окончанию проверки запустил CureIt! повторно - теперь обнаружилось 4 угрозы. В этот раз действий не предпринимал. С целью исключения подобных эксцессов в дальнейшем приобрел для племянницы лицензию Dr.Web Security Space. После разрешения проблемы с зашифрованными файлами планирутся переустановка операционной системы с последующей установкой и регистрацией антивируса.

Позже выяснил дополнительную информацию: за несколько часов до появления сообщения на ноутбук была загружена при помощи MediaGet и запущена игра Syberia2. По адресу D:\Zona Downloads\Syberia2 я нашел и сохранил отдельно два подозрительных файла, которые возможно являются шифровальщиком (KillSave.exe) и логом (debug.log).

Затем мною установлена демо версия на 1 мес. антивируса Dr. Web Security Space и проведена проверка компьютера. Сделал копии дисков С и D. Имеются логи продуктов Dr. Web.

Торговался со злоумышленниками посредством эл. почты, в результате они мне сбавили стоимость дешифровки до 5000р. и расшифровали один файл (*.jpg).

Еще нашел на флешке исходники пяти файлов формата *.docx в одноименной папке с зашифрованными на ноуте. Пришлю все вышеуказанные файлы при необходимости.

Затем, действувуя по инструкции на сайте virusinfo.info, сделал проверку в безопасном режиме Куреитом от др.Вэб и обратился к вам за помощью.

Уважаемый(ая) [B]hobot58[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\ver7BlockAndSurf\J6BlockAndSurfR79.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\SystemDir\nethost.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\7790\Updater.exe','');
DelBHO('{1B75FDE9-A250-DF68-EAAA-A78DDC1F49AC}');
DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
QuarantineFile('C:\Program Files\advPlugin\Toolbar32.dll','');
QuarantineFile('C:\Program Files\ver7BlockAndSurf\184.dll','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe','');
QuarantineFile('C:\Program Files\Common Files\Distribute Application\appdistrib.exe','');
QuarantineFile('C:\Program Files\Google\chrome.bat','');
QuarantineFile('C:\Launcher.bat','');
QuarantineFile('C:\IEXPLORE.bat','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows\system.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Adobe\Flash Player\airappinstaller.exe','');
QuarantineFile('C:\windows\system32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}Gt.sys','');
DeleteService('{371bcf01-e691-44bf-9345-60788e5d16a5}Gt');
QuarantineFile('C:\windows\system32\drivers\ccnfd_1_10_0_4.sys','');
DeleteService('ccnfd_1_10_0_4');
SetServiceStart('{a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt', 4);
DeleteService('{a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt');
SetServiceStart('{8d9c9462-4635-4cc0-ab2c-0e46af3a958b}Gt', 4);
DeleteService('{8d9c9462-4635-4cc0-ab2c-0e46af3a958b}Gt');
SetServiceStart('{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt', 4);
DeleteService('{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt');
SetServiceStart('{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gt', 4);
DeleteService('{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gt');
SetServiceStart('{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gt', 4);
DeleteService('{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gt');
SetServiceStart('{4cff408a-d9e7-47c3-a711-95133fcf7f45}Gt', 4);
DeleteService('{4cff408a-d9e7-47c3-a711-95133fcf7f45}Gt');
SetServiceStart('{371bcf01-e691-44bf-9345-60788e5d16a5}t', 4);
DeleteService('{371bcf01-e691-44bf-9345-60788e5d16a5}t');
SetServiceStart('{31c21995-b861-4864-ab50-4a53fbca73d4}t', 4);
DeleteService('{31c21995-b861-4864-ab50-4a53fbca73d4}t');
SetServiceStart('{29b8df85-56af-474f-9022-e376793679f9}Gt', 4);
DeleteService('{29b8df85-56af-474f-9022-e376793679f9}Gt');
QuarantineFile('C:\Program Files\advPlugin\Basement\ExtensionUpdaterService.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\VOPackage\VOsrv.exe','');
DeleteService('Update Service for advPlugin');
DeleteService('servervo');
QuarantineFile('C:\Program Files\ver7BlockAndSurf\U7qQ184.exe','');
DeleteService('BlockAndSurf');
SetServiceStart('Util Solution Real', 4);
DeleteService('Util Solution Real');
SetServiceStart('Update Solution Real', 4);
DeleteService('Update Solution Real');
QuarantineFile('C:\windows\system32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}Gt.sys','');
QuarantineFile('C:\windows\system32\drivers\{a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt.sys','');
QuarantineFile('C:\windows\system32\drivers\{8d9c9462-4635-4cc0-ab2c-0e46af3a958b}Gt.sys','');
QuarantineFile('C:\windows\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys','');
QuarantineFile('C:\windows\system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gt.sys','');
QuarantineFile('C:\windows\system32\drivers\{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gt.sys','');
QuarantineFile('C:\windows\system32\drivers\{4cff408a-d9e7-47c3-a711-95133fcf7f45}Gt.sys','');
QuarantineFile('C:\windows\system32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}t.sys','');
QuarantineFile('C:\windows\system32\drivers\{31c21995-b861-4864-ab50-4a53fbca73d4}t.sys','');
QuarantineFile('C:\windows\system32\drivers\{29b8df85-56af-474f-9022-e376793679f9}Gt.sys','');
TerminateProcessByName('c:\program files\solution real\bin\utilsolutionreal.exe');
QuarantineFile('c:\program files\solution real\bin\utilsolutionreal.exe','');
TerminateProcessByName('c:\program files\solution real\updatesolutionreal.exe');
QuarantineFile('c:\program files\solution real\updatesolutionreal.exe','');
TerminateProcessByName('c:\documents and settings\Администратор\application data\cppredistx86.exe');
QuarantineFile('c:\documents and settings\Администратор\application data\cppredistx86.exe','');
DeleteFile('c:\documents and settings\Администратор\application data\cppredistx86.exe','32');
DeleteFile('c:\program files\solution real\updatesolutionreal.exe','32');
DeleteFile('c:\program files\solution real\bin\utilsolutionreal.exe','32');
DeleteFile('C:\windows\system32\drivers\{29b8df85-56af-474f-9022-e376793679f9}Gt.sys','32');
DeleteFile('C:\windows\system32\drivers\{31c21995-b861-4864-ab50-4a53fbca73d4}t.sys','32');
DeleteFile('C:\windows\system32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}t.sys','32');
DeleteFile('C:\windows\system32\drivers\{4cff408a-d9e7-47c3-a711-95133fcf7f45}Gt.sys','32');
DeleteFile('C:\windows\system32\drivers\{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gt.sys','32');
DeleteFile('C:\windows\system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}Gt.sys','32');
DeleteFile('C:\windows\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys','32');
DeleteFile('C:\windows\system32\drivers\{8d9c9462-4635-4cc0-ab2c-0e46af3a958b}Gt.sys','32');
DeleteFile('C:\windows\system32\drivers\{a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt.sys','32');
DeleteFile('C:\windows\system32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}Gt.sys','32');
DeleteFile('C:\Program Files\ver7BlockAndSurf\U7qQ184.exe','32');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\VOPackage\VOsrv.exe','32');
DeleteFile('C:\Program Files\advPlugin\Basement\ExtensionUpdaterService.exe','32');
DeleteFile('C:\windows\system32\drivers\ccnfd_1_10_0_4.sys','32');
DeleteFile('C:\windows\system32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}Gt.sys','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Kbupdater Utility\kbupdater-utility.exe','32');
BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\Kbupdater Utility\kbupdater-utility.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет 2inf.net.lnk','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Adobe\Flash Player\airappinstaller.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaLaunchPanel');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows\system.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
DeleteFile('C:\IEXPLORE.bat','32');
DeleteFile('C:\Launcher.bat','32');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe','32');
DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','chrome5');
DeleteFile('C:\Program Files\ver7BlockAndSurf\184.dll','32');
DeleteFile('C:\Program Files\advPlugin\Toolbar32.dll','32');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\7790\Updater.exe','32');
DeleteFile('C:\windows\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\windows\Tasks\BlockAndSurf Update.job','32');
DeleteFile('C:\windows\Tasks\nethost task.job','32');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\SystemDir\nethost.exe','32');
DeleteFile('C:\Program Files\ver7BlockAndSurf\J6BlockAndSurfR79.exe','32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a919d42d2429ccca156be11b5d02287d&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a919d42d2429ccca156be11b5d02287d&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://2inf.net/?utm_source=startpage12
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a919d42d2429ccca156be11b5d02287d&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a919d42d2429ccca156be11b5d02287d&text=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14328;https=127.0.0.1:14328
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a919d42d2429ccca156be11b5d02287d&text=[/CODE]

[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]


Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/url]

Карантин отправлен. Прикладываю новые логи и отчеты.

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-448539723-838170752-1801674531-500\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-448539723-838170752-1801674531-500\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
HKU\S-1-5-21-448539723-838170752-1801674531-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
SearchScopes: HKU\S-1-5-21-448539723-838170752-1801674531-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-448539723-838170752-1801674531-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a919d42d2429ccca156be11b5d02287d&text=
SearchScopes: HKU\S-1-5-21-448539723-838170752-1801674531-500 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a919d42d2429ccca156be11b5d02287d&text={searchTerms}
CHR Extension: (No Name) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\fjlmglogcpohfbnkojmhllcofhfbamii [2015-01-02]
CHR HKLM\...\Chrome\Extension: [ehfanjejklfmnldbbclpocdbceaeemkn] - D:\Zona Downloads\Download Master\dm_chrome.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\aapcjgafljhokjfbeebpiddfjpjjcdem [2015-03-01]
OPR Extension: (SocialLife for Google Chrome™) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2014-12-18]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-03-01]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-03-01]
S1 {edf2e803-e64b-4078-9a9f-33672590ad18}Gt; system32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}Gt.sys [X]
2014-07-03 12:01 - 2014-07-03 12:01 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-02-28 22:21 - 2015-02-28 22:21 - 1440054 _____ () C:\Documents and Settings\Администратор\Application Data\C4C85541C4C85541.bmp
2014-12-18 23:33 - 2014-07-07 02:15 - 0382464 _____ () C:\Documents and Settings\Администратор\Application Data\cppredistx86.exe
2015-01-31 14:38 - 2015-01-31 14:38 - 0442896 _____ () C:\Documents and Settings\Администратор\Application Data\data13.dat
2014-12-14 22:17 - 2015-03-01 15:19 - 0000000 _____ () C:\Documents and Settings\Администратор\Application Data\smw_inst
2015-01-31 14:38 - 2015-01-31 14:38 - 0442880 _____ () C:\Documents and Settings\Администратор\Application Data\ssleas.exe
2015-03-01 15:15 - 2014-02-21 23:13 - 00000000 ____D () C:\Documents and Settings\Администратор\Application Data\newnext.me
2014-12-18 22:34 - 2014-12-18 22:34 - 0000167 ____H () C:\Documents and Settings\Администратор\Local Settings\Application Data\BrowserManager.bat
2014-12-18 22:34 - 2014-07-22 14:00 - 0876328 ____H (Yandex LLC) C:\Documents and Settings\Администратор\Local Settings\Application Data\ВrоwsеrМаnаgеr.bаt.exe
C:\Documents and Settings\Администратор\removeSAddons.bat
Reboot:
[/code][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Логи ClearLNK и Fixlog

С расшифровкой не поможем

Жаль. Благодарю за уделенное внимание моей проблеме.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]79[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\{a5c25b9e-3974-4e91-9864-34f9aca33ff3}gt.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szd[/B] ( BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{edf2e803-e64b-4078-9a9f-33672590ad18}gt.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szd[/B] ( BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{29b8df85-56af-474f-9022-e376793679f9}gt.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szd[/B] ( BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{31c21995-b861-4864-ab50-4a53fbca73d4}t.sys - [B]not-a-virus:AdWare.Win32.Yotoon.sze[/B] ( BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}t.sys - [B]not-a-virus:AdWare.Win32.Yotoon.sze[/B] ( BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{4cff408a-d9e7-47c3-a711-95133fcf7f45}gt.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szd[/B] ( BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{6e9af5d3-a8f9-4461-ad38-1433888f55dc}gt.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szd[/B] ( BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}gt.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szd[/B] ( BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}gt.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szd[/B] ( BitDefender: Adware.NetFilter.J )[*] c:\windows\system32\drivers\{8d9c9462-4635-4cc0-ab2c-0e46af3a958b}gt.sys - [B]not-a-virus:AdWare.Win32.Yotoon.szd[/B] ( BitDefender: Adware.NetFilter.J )[/LIST][/LIST]