Зашифровались файлы в тип файла XTBL

[викторxs]

Здравствуйте.

На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков.

В файле readme.txt следующее содержание:

Ваши файлы были зашифрованы.

 

Чтобы расшифровать их, Вам необходимо отправить код:

6EC8AEA1A636848F751E|0

на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

А всё получилось после того как жена решила скачать сереальчик ...вот и подхватили вирус.

все ваши  рекомендации выполнил.  

CollectionLog-2015.03.04-20.15.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kyvfnfuxnt');
DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[викторxs]

выполнил ваши указания.

прикрепляю два отчета из проги  Farbar Recovery Scan Tool

FRST.txt

Addition.txt

[thyrex]

Новые логи по правилам где?

[викторxs]

вот они новые логи .

CollectionLog-2015.03.07-15.29.zip

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:





Task: {7BCC68D8-19CC-47D9-8D1B-C0068AF23702} - \chrome5_logon No Task File <==== ATTENTION

Task: {C277F44C-321B-4E88-A5D1-CF062BFCDA88} - \chrome5 No Task File <==== ATTENTION

Task: {FFCED215-700C-4A5D-886D-E290B689E4A0} - \nethost task No Task File <==== ATTENTION

HKU\S-1-5-21-1650485659-2878528807-2387850329-1001\...\Run: [amigo] => [X]

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

CHR HKU\S-1-5-21-1650485659-2878528807-2387850329-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

Toolbar: HKU\S-1-5-21-1650485659-2878528807-2387850329-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

FF Plugin: @microsoft.com/GENUINE -> disabled No File

FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File

CHR HomePage: Default -> hxxp://2inf.net/?utm_source=startpage12

CHR StartupUrls: Default -> "hxxp://2inf.net/?utm_source=startpage12"

CHR Extension: (FullProtected) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\agfjdflmdlnffhlfmjdpbcoccaeamikk [2015-03-04]

CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-08-16]

CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-08-16]

CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-09-05]

CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-08-16]

CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-08-16]

CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2015-02-11]

CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai [2015-02-11]

CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2015-02-11]

CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2014-08-16]

CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\pchfckkccldkbclgdepkaonamkignanh [2015-01-19]

CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\pganlglbhgfjfgopijbhemcpbehjnpia [2015-02-11]

CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]

CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]

CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx

OPR Extension: (FullProtected) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\agfjdflmdlnffhlfmjdpbcoccaeamikk [2015-02-11]

2015-03-02 13:43 - 2015-03-04 14:10 - 00000000 __SHD () C:\Users\Все пользователи\Windows

2015-03-02 13:43 - 2015-03-04 14:10 - 00000000 __SHD () C:\ProgramData\Windows

2015-03-02 13:42 - 2015-03-04 14:36 - 00000000 ___HD () C:\Users\1\AppData\Roaming\6EF0418E

Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

[викторxs]

 вот лог как и просили.

Fixlog.txt

[Roman_Five]

чисто.
с расшифровкой помочь не можем.

[mike 1]

Пароль на учетной записи Администратора какой-нибудь стоит?