Зашифрованы файлы [not-a-virus:AdWare.Win32.Vitruvian.k, not-a-virus:RiskTool.Win32.BitCoinMiner.uvp ]

Помогите расшифровать. У файлов стало расширение .xtbl. Куча файлов readme , обои рабочего стола тоже выдаю инфотмацию о зашифровке...

Уважаемый(ая) [B]peoneer[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

картинка рабочего стола [url]http://10kilogramm.ru/prochie-materialy/15-03/virus-troyan.jpg[/url]

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
QuarantineFile('C:\opera.bat','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\Бел\AppData\Local\gmsd_ru_244\upgmsd_ru_244.exe','');
QuarantineFile('C:\Users\Бел\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_264\gmsd_ru_264.exe','');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_258\gmsd_ru_258.exe','');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_246\gmsd_ru_246.exe','');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_244\gmsd_ru_244.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
DeleteService('ykcwhhrf');
StopService('{e2590817-40ca-4d03-8e1f-67fd8517bae9}w64');
StopService('{848705a5-8a27-403e-9b59-732d0608bcbc}w64');
StopService('{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}w64');
StopService('{3f1219df-4a4d-40a3-9537-f2a95f4016b3}w64');
StopService('{36ed28a4-ac0a-4653-91ff-10beb4246550}w64');
StopService('{11944e07-3e46-4956-b8c7-7e52c7a44c1d}w64');
StopService('{11944e07-3e46-4956-b8c7-7e52c7a44c1d}Gw64');
StopService('innfd_1_10_0_14');
DeleteService('{e2590817-40ca-4d03-8e1f-67fd8517bae9}w64');
DeleteService('{848705a5-8a27-403e-9b59-732d0608bcbc}w64');
DeleteService('{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}w64');
DeleteService('{3f1219df-4a4d-40a3-9537-f2a95f4016b3}w64');
DeleteService('{36ed28a4-ac0a-4653-91ff-10beb4246550}w64');
DeleteService('{11944e07-3e46-4956-b8c7-7e52c7a44c1d}w64');
DeleteService('{11944e07-3e46-4956-b8c7-7e52c7a44c1d}Gw64');
DeleteService('innfd_1_10_0_14');
StopService('Util Edu App');
StopService('Update Edu App');
StopService('soxocusy');
StopService('insvc_1.10.0.14');
StopService('IHProtect Service');
StopService('buwomyre');
StopService('bucuwece');
DeleteService('globalUpdatem');
DeleteService('globalUpdate');
DeleteService('Util Edu App');
DeleteService('Update Edu App');
DeleteService('soxocusy');
DeleteService('insvc_1.10.0.14');
DeleteService('IHProtect Service');
DeleteService('buwomyre');
DeleteService('bucuwece');
QuarantineFile('C:\Windows\system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{e2590817-40ca-4d03-8e1f-67fd8517bae9}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{3f1219df-4a4d-40a3-9537-f2a95f4016b3}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{36ed28a4-ac0a-4653-91ff-10beb4246550}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{11944e07-3e46-4956-b8c7-7e52c7a44c1d}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{11944e07-3e46-4956-b8c7-7e52c7a44c1d}Gw64.sys','');
TerminateProcessByName('c:\program files (x86)\edu app\bin\utileduapp.exe');
QuarantineFile('c:\program files (x86)\edu app\bin\utileduapp.exe','');
TerminateProcessByName('c:\users\Бел\appdata\local\gmsd_ru_244\upgmsd_ru_244.exe');
QuarantineFile('c:\users\Бел\appdata\local\gmsd_ru_244\upgmsd_ru_244.exe','');
TerminateProcessByName('c:\program files (x86)\edu app\updateeduapp.exe');
QuarantineFile('c:\program files (x86)\edu app\updateeduapp.exe','');
TerminateProcessByName('c:\users\Бел\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\Бел\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe');
QuarantineFile('c:\program files (x86)\xtab\protectservice.exe','');
TerminateProcessByName('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\nskb601.tmp');
QuarantineFile('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\nskb601.tmp','');
TerminateProcessByName('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\jnsxb856.tmp');
QuarantineFile('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\jnsxb856.tmp','');
TerminateProcessByName('c:\program files (x86)\infonaut_1.10.0.14\service\insvc.exe');
QuarantineFile('c:\program files (x86)\infonaut_1.10.0.14\service\insvc.exe','');
TerminateProcessByName('c:\program files (x86)\xtab\hpnotify.exe');
QuarantineFile('c:\program files (x86)\xtab\hpnotify.exe','');
TerminateProcessByName('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\hnsxdf58.tmp');
QuarantineFile('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\hnsxdf58.tmp','');
TerminateProcessByName('c:\program files (x86)\gmsd_ru_264\gmsd_ru_264.exe');
QuarantineFile('c:\program files (x86)\gmsd_ru_264\gmsd_ru_264.exe','');
TerminateProcessByName('c:\program files (x86)\gmsd_ru_258\gmsd_ru_258.exe');
QuarantineFile('c:\program files (x86)\gmsd_ru_258\gmsd_ru_258.exe','');
TerminateProcessByName('c:\users\Бел\appdata\roaming\x11\a\engine.exe');
QuarantineFile('c:\users\Бел\appdata\roaming\x11\a\engine.exe','');
TerminateProcessByName('c:\program files (x86)\plushd_video 3.4v18.05\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-6.exe');
QuarantineFile('c:\program files (x86)\plushd_video 3.4v18.05\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-6.exe','');
TerminateProcessByName('c:\program files (x86)\xtab\cmdshell.exe');
QuarantineFile('c:\program files (x86)\xtab\cmdshell.exe','');
TerminateProcessByName('c:\users\Бел\appdata\roaming\cppredistx86.exe');
QuarantineFile('c:\users\Бел\appdata\roaming\cppredistx86.exe','');
DeleteFile('c:\users\Бел\appdata\roaming\cppredistx86.exe','32');
DeleteFile('c:\program files (x86)\xtab\cmdshell.exe','32');
DeleteFile('c:\program files (x86)\plushd_video 3.4v18.05\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-6.exe','32');
DeleteFile('c:\users\Бел\appdata\roaming\x11\a\engine.exe','32');
DeleteFile('c:\program files (x86)\gmsd_ru_258\gmsd_ru_258.exe','32');
DeleteFile('c:\program files (x86)\gmsd_ru_264\gmsd_ru_264.exe','32');
DeleteFile('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\hnsxdf58.tmp','32');
DeleteFile('c:\program files (x86)\xtab\hpnotify.exe','32');
DeleteFile('c:\program files (x86)\infonaut_1.10.0.14\service\insvc.exe','32');
DeleteFile('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\jnsxb856.tmp','32');
DeleteFile('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\nskb601.tmp','32');
DeleteFile('c:\program files (x86)\xtab\protectservice.exe','32');
DeleteFile('c:\users\Бел\appdata\roaming\ssleas.exe','32');
DeleteFile('c:\program files (x86)\edu app\updateeduapp.exe','32');
DeleteFile('c:\users\Бел\appdata\local\gmsd_ru_244\upgmsd_ru_244.exe','32');
DeleteFile('c:\program files (x86)\edu app\bin\utileduapp.exe','32');
DeleteFile('C:\Windows\system32\drivers\{11944e07-3e46-4956-b8c7-7e52c7a44c1d}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{11944e07-3e46-4956-b8c7-7e52c7a44c1d}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{36ed28a4-ac0a-4653-91ff-10beb4246550}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{3f1219df-4a4d-40a3-9537-f2a95f4016b3}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{e2590817-40ca-4d03-8e1f-67fd8517bae9}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}w64.sys','32');
DeleteFile('C:\Users\Бел\AppData\Roaming\32444335-1431585048-4631-4447-80C16E49D10B\nskB601.tmp','32');
DeleteFile('C:\Users\Бел\AppData\Roaming\32444335-1431585048-4631-4447-80C16E49D10B\jnsxB856.tmp','32');
DeleteFile('C:\Program Files (x86)\XTab\ProtectService.exe','32');
DeleteFile('C:\Program Files (x86)\Infonaut_1.10.0.14\Service\insvc.exe','32');
DeleteFile('C:\Users\Бел\AppData\Roaming\32444335-1431585048-4631-4447-80C16E49D10B\hnsxDF58.tmp','32');
DeleteFile('C:\Program Files (x86)\Edu App\updateEduApp.exe','32');
DeleteFile('C:\Program Files (x86)\Edu App\bin\utilEduApp.exe','32');
DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_244','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_246','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_258');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_264');
DeleteFile('C:\Program Files (x86)\gmsd_ru_244\gmsd_ru_244.exe','32');
DeleteFile('C:\Program Files (x86)\gmsd_ru_246\gmsd_ru_246.exe','32');
DeleteFile('C:\Program Files (x86)\gmsd_ru_258\gmsd_ru_258.exe','32');
DeleteFile('C:\Program Files (x86)\gmsd_ru_264\gmsd_ru_264.exe','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\Бел\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Users\Бел\AppData\Local\gmsd_ru_244\upgmsd_ru_244.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_244.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\opera.bat','32');
DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-6.job','64');
DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-7.job','64');
DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-10_user.job','64');
DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-11.job','64');
DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-3.job','64');
DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-5.job','64');
DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-5_user.job','64');
DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-6.job','64');
DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-7.job','64');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64');
DeleteFile('C:\Windows\Tasks\x9leqCgTx7wc3dFqjVa7r5EYoJ.job','64');
DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-6','64');
DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-7','64');
DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-11','64');
DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-3','64');
DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-5','64');
DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-6','64');
DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-7','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
DeleteFile('C:\Windows\system32\Tasks\{FA22FE62-072A-46F2-9D54-17D769D5AC2A}','64');
ExecuteSysClean;
RebootWindows(true);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]Check Browsers LNK.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы в папке [b]Log[/b] будет сохранен отчет [b]Check_Browsers_LNK.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]

готово

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Скажите если можно сразу если ли смыслс ожидать ? расшифровать надо тока пару папок с фотками, систему переустановлю... мысл не в удаленни вируса а в расшифровке

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\iexplore.bat - [B]Trojan-Clicker.BAT.Small.cn[/B][*] c:\program files (x86)\gmsd_ru_244\gmsd_ru_244.exe - [B]not-a-virus:AdWare.Win32.Eorezo.fkz[/B] ( DrWEB: Adware.Downware.10601, BitDefender: Adware.Eorezo.BZ )[*] c:\program files (x86)\gmsd_ru_246\gmsd_ru_246.exe - [B]not-a-virus:AdWare.Win32.Eorezo.fkz[/B] ( DrWEB: Adware.Downware.10601, BitDefender: Adware.Eorezo.BZ )[*] c:\program files (x86)\gmsd_ru_258\gmsd_ru_258.exe - [B]not-a-virus:AdWare.Win32.Eorezo.mjk[/B] ( BitDefender: Adware.Eorezo.BZ )[*] c:\program files (x86)\gmsd_ru_264\gmsd_ru_264.exe - [B]not-a-virus:AdWare.Win32.Eorezo.mjk[/B] ( BitDefender: Adware.Eorezo.BZ )[*] c:\program files (x86)\infonaut_1.10.0.14\service\insvc.exe - [B]not-a-virus:AdWare.Win32.Vitruvian.k[/B][*] c:\program files (x86)\plushd_video 3.4v18.05\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-6.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.amqa[/B] ( BitDefender: Gen:Application.Heur.Dz1@kaycxNci )[*] c:\program files (x86)\xtab\cmdshell.exe - [B]not-a-virus:AdWare.Win32.SubTab.e[/B][*] c:\program files (x86)\xtab\hpnotify.exe - [B]not-a-virus:AdWare.Win32.SearchProtect.so[/B][*] c:\program files (x86)\xtab\protectservice.exe - [B]not-a-virus:AdWare.Win32.SubTab.e[/B][*] c:\programdata\windows\csrss.exe - [B]Backdoor.Win32.Androm.haeb[/B] ( AVAST4: Win32:Malware-gen )[*] c:\users\бел\appdata\local\gmsd_ru_244\upgmsd_ru_244.exe - [B]not-a-virus:AdWare.Win32.Eorezo.mae[/B] ( DrWEB: Adware.Downware.10601, BitDefender: Adware.Eorezo.BZ )[*] c:\users\бел\appdata\roaming\cppredistx86.exe - [B]Trojan.Win32.Bitminer.it[/B] ( DrWEB: Trojan.KillFiles.21663, BitDefender: Trojan.GenericKD.1975949 )[*] c:\users\бел\appdata\roaming\ssleas.exe - [B]Trojan.Win32.Kesels.a[/B][*] c:\users\бел\appdata\roaming\x11\a\engine.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.uvp[/B] ( DrWEB: Tool.BtcMine.461 )[/LIST][/LIST]