все файлы зашифрованы XTBL незнаю что делать

[суслуверов]

все  файлы были  зашифрованы в виде  XTBL  что делать незнаю

CollectionLog-2015.04.17-17.00.zip

Изменено 17 апреля, 2015 пользователем суслуверов

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\1\appdata\roaming\x11\engine.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','64');
 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','64');
 DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
 DeleteFile('C:\Users\1\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Users\1\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','64');
 DeleteFile('C:\Windows\system32\Tasks\{C457DCC1-34FA-481B-A1D8-830391218015}','64');
 DeleteFile('C:\Windows\system32\Tasks\{A6026B2D-23C3-48CB-AEC6-EA60A52D807B}','64');
 DeleteFile('C:\Windows\system32\Tasks\{5B890A67-0AD2-4D44-B6E5-35A51A203BA4}','64');
 DeleteFile('C:\Windows\system32\Tasks\{240B0341-E266-4145-B222-ADB1E2AAA79E}','64');
 DeleteFile('C:\Users\1\appdata\roaming\x11\engine.exe','32');
 DeleteFileMask('C:\Program Files (x86)\Common Files\{C561ED7F-35D4-472C-9213-AACA1700B8EE}\0.8', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\Common Files\{C561ED7F-35D4-472C-9213-AACA1700B8EE}\0.8');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=0f840bfc8ddd8f476a6d59832adc239c&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://gotut.ru/s/?query={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=0f840bfc8ddd8f476a6d59832adc239c&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=0f840bfc8ddd8f476a6d59832adc239c&text=
O2 - BHO: advPlugin - {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} - C:\Program Files (x86)\advPlugin\Toolbar32.dll (file missing)
O2 - BHO: VK Downloader - {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} - C:\Program Files (x86)\VK Downloader\K_l9EtqEFc.dll (file missing)
O2 - BHO: Search App by Ask BHO - {4F524A2D-5350-4500-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll" (file missing)
O2 - BHO: Shopping App by Ask BHO - {4F524A2D-5354-2D53-5045-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll" (file missing)
O3 - Toolbar: Search App by Ask - {4F524A2D-5350-4500-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll" (file missing)
O3 - Toolbar: Shopping App by Ask - {4F524A2D-5354-2D53-5045-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll" (file missing)
O4 - Global Startup: Kinоrооm Brоwsеr.lnk = C:\Program Files (x86)\Kinoroom Browser\krbrowser.bat
O4 - Global Startup: KRB Updater Utility.lnk = C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
O9 - Extra button: Currency Converter - {7CE987D5-11B3-44FC-9C3D-03069360D462} - C:\Program Files (x86)\advPlugin\Toolbar32.dll (file missing)

 

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[суслуверов]

вот  фаил4

[thyrex]

И где же файлы?