ransom.shade файлы .xtbl

[lili66]

пожалуйста, помогите расшифровать файлы (появились после установки программы)

CollectionLog-2015.04.17-12.37.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\lili\AppData\Roaming\GKSWKV.exe','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\lili\AppData\Local\Yandex\browser.bat','');
 DeleteFile('C:\Program Files\MPK\mpk.exe','32');
 DeleteFile('C:\Users\lili\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-11.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-5.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Users\lili\AppData\Roaming\GKSWKV.exe','32');
 DeleteFile('C:\Windows\Tasks\GKSWKV.job','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-1-6','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-1-7','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-10_user','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-11','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-5','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-5_user','32');
 DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32');
 DeleteFile('C:\Windows\system32\Tasks\GKSWKV','32');
ExecuteSysClean;
ExecuteRepair(2);
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.luckysearches.com/?type=hp&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=841fd215d26572b5284348841fbd2754&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=841fd215d26572b5284348841fbd2754&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.luckysearches.com/?type=hp&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.luckysearches.com/web/?type=ds&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.luckysearches.com/web/?type=ds&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.luckysearches.com/?type=hp&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.luckysearches.com/web/?type=ds&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.luckysearches.com/web/?type=ds&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE&q={searchTerms}
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\Program Files\MPK\mpk.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Complitly - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\Users\lili\AppData\Roaming\Complitly\Complitly.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: SMTTB2009 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: (no name) - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - (no file)
O4 - HKCU\..\RunOnce: [Application Restart #2] C:\Users\lili\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --flag-switches-begin --flag-switches-end --disable-direct-npapi-requests --disable-client-side-phishing-detection --google-profile-info --simple-blur --restore-last-session -- http://land-saerch.ru
O20 - AppInit_DLLs:

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.