вирус в формате CBF

Я даже не понял когда это произошло. Просто недавно при открытии файлов в формате Mikrosoft Word я увидел что все мои файлы этого формата переформатированы в формат CBF. И открыть файлы в этом формате не предоставляется возможным.Прилагаю все мои исследовательские документы.Надеюсь, что вы мне сможете помочь.Заранее огромное спасибо!!! С уважением Владимир Сидоров.

Уважаемый(ая) [B]Владимир Сидоров[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('D:\Program Files\Advair\advair.exe','');
QuarantineFile('D:\Documents and Settings\User\Local Settings\Application Data\03000200-1427065748-0500-0006-000700080009\bnse567.exe','');
QuarantineFile('D:\Program Files\punto.bat','');
DeleteFile('D:\Program Files\punto.bat','32');
DeleteFile('D:\Documents and Settings\User\Local Settings\Application Data\03000200-1427065748-0500-0006-000700080009\bnse567.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]

Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowsers' Lnk[/url]

Выставляю новые логи по указанию надеюсь моего спасителя:

Дочитайте до конца предыдущий совет и пришлите недостающий лог

Извините - я был в отъезде: выставляю недостающий лог.

Мда, беда...

Прочтите последнее предложение в сообщении №3

Я Вас понимаю и сочувствую. У меня последнее предложение такое:
"Сделайте лог CheckBrowsers' Lnk"
Может это не то?

Оно и есть.

Вот и пришлите лог этой утилиты

Прошу прощение за непонятки. Надеюсь это то что нужно:

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
[list][*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.

Сделал все как Вы указали, только FRST не смог скачать по Вашей ссылке, скачал со стороннего ресурса.....????

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1427117239&from=cmi&uid=TOSHIBAXMK2576GSX_519LD06OBXX519LD06OB
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427117239&from=cmi&uid=TOSHIBAXMK2576GSX_519LD06OBXX519LD06OB&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1427117239&from=cmi&uid=TOSHIBAXMK2576GSX_519LD06OBXX519LD06OB
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1427117239&from=cmi&uid=TOSHIBAXMK2576GSX_519LD06OBXX519LD06OB&q={searchTerms}
HKU\S-1-5-21-1343024091-606747145-1547161642-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9c9f34a7272bc12104b05accced7e30c&text={searchTerms}
HKU\S-1-5-21-1343024091-606747145-1547161642-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9c9f34a7272bc12104b05accced7e30c&text={searchTerms}
HKU\S-1-5-21-1343024091-606747145-1547161642-1004\Software\Microsoft\Internet Explorer\Main,Start Pa = hxxp://search.trident.com.ua/?page=google&client=ie&rls=org.mozilla:us:official
HKU\S-1-5-21-1343024091-606747145-1547161642-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1427117239&from=cmi&uid=TOSHIBAXMK2576GSX_519LD06OBXX519LD06OB
SearchScopes: HKU\S-1-5-21-1343024091-606747145-1547161642-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9c9f34a7272bc12104b05accced7e30c&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1343024091-606747145-1547161642-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9c9f34a7272bc12104b05accced7e30c&text=
SearchScopes: HKU\S-1-5-21-1343024091-606747145-1547161642-1004 -> {D2C6380C-9128-4FC1-9187-4BC1F0B03DB3} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-W1&o=100000080&src=crm&q={searchTerms}&locale=ru_RU&apn_ptnrs=^JM&apn_dtid=^YYYYYY^YY^RU&apn_uid=0D56D350-D452-499A-961F-315AFA954482&apn_sauid=642CE59A-E082-4F39-8D58-E33B841DAE62
FF Extension: AS Magic Player - D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2014-11-03]
CHR Extension: (Срочное обновление Chrome) - D:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mdfniaggacdfpenlifeohjkemhoikojh [2015-08-31]
OPR Extension: (SocialLife for Google Chrome) - D:\Documents and Settings\User\Application Data\Opera Software\Opera Stable\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2014-08-29]
OPR Extension: (AS Magic Player) - D:\Documents and Settings\User\Application Data\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2014-11-03]
2015-08-31 20:26 - 2015-08-31 20:26 - 0000065 _____ () D:\Program Files\GYARFEHJJO.UKK
2015-08-30 21:14 - 2015-08-30 21:14 - 0000065 _____ () D:\Program Files\OTNVJVFLKX.KMB
2015-08-31 19:19 - 2015-08-31 19:19 - 0000065 _____ () D:\Program Files\QEWGYRRTFY.DDU
AlternateDataStreams: D:\WINDOWS\system32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57}
AlternateDataStreams: D:\Documents and Settings\All Users\Application Data\TEMP:07BF512B
2015-03-23 17:42 - 2015-03-23 17:41 - 0613255 _____ (CMI Limited) D:\Documents and Settings\User\Local Settings\Application Data\nsfDF4.tmp
2015-03-24 07:58 - 2015-03-24 07:58 - 0613255 _____ (CMI Limited) D:\Documents and Settings\User\Local Settings\Application Data\nsoB1.tmp
2015-03-23 00:07 - 2015-03-23 00:06 - 0613255 _____ (CMI Limited) D:\Documents and Settings\User\Local Settings\Application Data\nsu77C.tmp
2015-03-22 23:54 - 2015-03-22 23:53 - 0613255 _____ (CMI Limited) D:\Documents and Settings\User\Local Settings\Application Data\nsy6FD.tmp
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Вот у меня получился такой файл:

Уважаемый друг, почему Вы замолчали, или все мои надежды летят прахом?

С расшифровкой не поможем

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]