Ну да.
Вы хотели скачать программу для работы со звуком.
Антивирус файл удалил = поместил его на карантин.
Опасности нет.
-----
Прежде чем установить программу проверяйте программу здесь*: https://www.virustotal.com/
* Если позволяет вес программы.

На фото конечно ничего не видно.

А ArchSMS - это просто архив закрытый паролем.
Пример: Вы хотите скачать скажем Офис...
Находите файл > скачиваете его.
Хотите установить Офис...
А вам предлагают распаковать архив за деньги.
Оплата идёт через платное SMS с телефона.
В итоге вы тратите деньги - но не получаете желаемого.
Это называется развод... ли Фишинг  ( рыбная ловля )

Сам по себе файл НЕ опасен.
Его можно удалить самостоятельно - или это сделает антивирус.
- Сообщения от антивируса могут повторяться если файл стоит на скачивании...
Файл закачался...
Антивирус его удалил - чтобы решить проблему нужно удалить закачку.

Фото карантина можно увидеть
Какие там файлы ?
------
Hoax.Win32. ArchSMS. Данный тип угрозы представляет собой платный распаковщик архивов, которые находятся под паролем.
И сам по себе опасности не представляет.

P.S.
Избегайте избыточного цитирования сообщений.
Тема становиться не читаемой.
- А winlogon.exe это системный файл.

1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

--------
2) Далее: Выполните лог в АdwСleaner
http://forum.esetnod32.ru/forum9/topic7084/
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Браузер расширения.

В адресной строке браузера пропишите:
для
Яндекс браузер:
browser://extensions/

ХРОМ:
chrome://extensions/

Опера:  
opera://extensions

Firefox:
about:addons

nternet Explorer:
Зайти в раздел настроек браузера, выбрать меню "Настроить надстройки":
В открывшемся окне кликните на расширение.

Откроется список расширений браузера.


Отключите все неизвестные вам расширения.
* Если возникнет необходимость потом их можно включить.
Оцените результат.

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
[code]



;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAMDATA\VKSAVER

delref HTTP://HELP.YANDEX.RU/YABROWSER/
delref HTTP://WWW.GOOGLE.COM
del %SystemRoot%\TEMP\CPUZ135\CPUZ135_X64.SYS

del %SystemDrive%\PROGRAMDATA\MTA SAN ANDREAS ALL\COMMON\TEMP\FAIRPLAYKD.SYS

deldirex %SystemDrive%\USERS\SS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOAD­ER

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZTRANSCO­DE

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZUPDATER­

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZXULRUNN­ER10

bl 90E32A5792E0D24FE593BC4455FCDD2A 674256
delref \\?\C:\PROGRAM FILES (X86)\ZONA\ZONA.EXE
del \\?\C:\PROGRAM FILES (X86)\ZONA\ZONA.EXE

delref HTTP://4GAME.COM/?CLIENT-APP=V2
delref HTTP://JAVA.COM/HELP
del %SystemDrive%\USERS\SS\APPDATA\LOCAL\TEMP\1865133F3.SYS

del %SystemDrive%\USERS\SS\APPDATA\LOCAL\TEMP\187A5093D.SYS

;-------------------------------------------------------------

delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GIGHMMPIOBKLFEPJOCNAMGKKBIGLIDOM\2.29_0\BETAFISH ADBLOCKER
bl 955B828EA976DCA1FAFEA0765A31AEEC 16577506
delall %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\42.0.2311.135\RESOURCES.PAK
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GMLLLBGHNFKPFLEMIHLJEKBAPJOPFJIK\2.2015.427.11450_1\BOOKMARK MANAGER
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JOPDPBOLKLKLAIOOKIKGMDINFBOOIIPJ\1.1_0\WEBSITE RECOMMENDATION LITE
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MMNGLJDJKKPKPKGKBDGEPFBCJOMCLBAN\1.0.4_0\ДЕРЕВЯННЫЙ ХРОМ
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F06417076FF}
exec32 MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F03217076FF}
deltmp
delnfr
restart

[/code]

-------------
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
-------
+
У вас компоненты двух антивирусов в системе.
AVAST  и KASPERSKY INTERNET SECURITY 2013

Удалите один из антивирусов.
И зачистите его так: http://pchelpforum.ru/f26/t71649/#post621939

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
[code]


;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

deldirex %SystemDrive%\USERS\--\APPDATA\LOCAL\SMARTWEB

deldirex %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH

delref HTTP://WWW.YANDEX.RU/?WIN=163&CLID=2139453-017
bl 6B6915B4F96D4267A2572FDA75E6A10C 1336104
delref \\?\C:\USERS\--\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
del \\?\C:\USERS\--\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE

delref HTTP://ACER13.MSN.COM/?PC=ACJB
delref HTTP://SEARCH-HOP.RU
delref HTTP://YANDEX.RU/?CLID=1920673
;-------------------------------------------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\ANYPROTECT.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\SV9L6UOPYR.EXE
delall %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
delall %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALFF.BAT
delall %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALYFITOPS.BAT
delall %SystemDrive%\USERS\--\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
delall %SystemDrive%\USERS\--\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
delall %SystemDrive%\USERS\--\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT
bl 0411462CCD53639EA1DD083449EBD56E 114688
delall %SystemDrive%\PROGRAM FILES (X86)\OPERAHELPER\OPERA_HELPER.EXE
delall %Sys32%\DRIVERS\MFEFIRE.SYS
delall %Sys32%\DRIVERS\MFEVTP.SYS
delall %SystemDrive%\USERS\--\APPDATA\LOCAL\SMARTWEB\SMARTWEBHELPER.EXE
exec32 C:\Program Files (x86)\AVG\AVG PC TuneUp\TUInstallHelper.exe --Trigger-Uninstall
exec "C:\Users\--\AppData\Local\Package Cache\{12f34aee-538c-44d5-b33a-12213b7e0197}\BrowserManagerInstaller.exe"  /uninstall
deltmp
delnfr
restart

[/code]

-------------
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
-------
+
В системе компоненты антивируса: McAfee
их нужно удалить по инструкции: http://pchelpforum.ru/f26/t71649/#post621939

[QUOTE]Валерий Грачёв написал:
Хм,а как ? Запускать start.exe?[/QUOTE]

Да.
В инструкции всё детально показано.

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Роман Ф

1) Вероятно повторное заражение идёт через общие ресурсы.
Соответственно их нужно блокировать.
2) Посмотрите в свойствах зашифрованных файлов - ( в общих ресурсах ), какой PC получал к ним доступ - является владельцем.

3) По лечению/удалению вируса.:
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Желательно найти проблемную машину и на ней Создать образ автозапуска в uVS.
- Можно посмотреть на каких PC было шифрование, а на каких нет.
- Если PC не много, то Создать образ автозапуска в uVS на каждой машине.