ransom.shade Залез вирус и зашифровал файлы в .xtbl

[mike 1]

 

 

 AdwCleaner ничего тут нету.

А вы случайно на кнопку "Удалить" не нажимали?

Изменено 21 мая, 2015 пользователем mike 1

[gluk_balda]

 

 

 

 AdwCleaner ничего тут нету.

А вы случайно на кнопку "Удалить" не нажимали?

 

Вот что в папке,ничего не удалял

[mike 1]

Я говорил не про папку AdwCleaner, а про главное окно AdwCleaner.

[gluk_balda]

Я говорил не про папку AdwCleaner, а про главное окно AdwCleaner.

все удалил

AdwCleanerS0.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[gluk_balda]

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Addition_22-05-2015_11-47-29.txt

FRST_22-05-2015_11-47-29.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3ef2df8dd4c7a9cf5f7893df6f868440&text= <==== ATTENTION
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2015-01-12]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehfanjejklfmnldbbclpocdbceaeemkn [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-17]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\liignembjmccgkoaikcpfkoeepbnelph [2014-10-05]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman [2014-08-25]
CHR HKU\S-1-5-21-3430153571-2773525882-1605993025-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
NETSVCx32: vhtuicoapz -> C:\Windows\SysWOW64\saqtliw.dll ()
C:\Windows\SysWOW64\saqtliw.dll
2015-05-19 21:01 - 2015-05-19 21:01 - 03932214 _____ () C:\Users\Витя\AppData\Roaming\0A72D6940A72D694.bmp
2015-05-19 19:57 - 2015-05-19 22:01 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-05-19 19:57 - 2015-05-19 22:01 - 00000000 __SHD () C:\ProgramData\Windows
C:\Users\Витя\AppData\Local\Temp\438C7CA8EF4D934D.exe
C:\Users\Витя\AppData\Local\Temp\amigo_setup.exe
C:\Users\Витя\AppData\Local\Temp\AskSLib.dll
C:\Users\Витя\AppData\Local\Temp\B6E818863B6616A3.exe
C:\Users\Витя\AppData\Local\Temp\BaiduAn.Setup.1117.4.0.0.516_1000163737.exe
C:\Users\Витя\AppData\Local\Temp\Baidusd.Setup.3.0.0.4609.youqian_1000163737.exe
C:\Users\Витя\AppData\Local\Temp\jre-8u45-windows-au.exe
C:\Users\Витя\AppData\Local\Temp\KMP_3.9.1.132.exe
C:\Users\Витя\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Витя\AppData\Local\Temp\minimp3.exe
C:\Users\Витя\AppData\Local\Temp\nvSCPAPI.dll
C:\Users\Витя\AppData\Local\Temp\nvStInst.exe
C:\Users\Витя\AppData\Local\Temp\Quarantine.exe
C:\Users\Витя\AppData\Local\Temp\sender.exe
C:\Users\Витя\AppData\Local\Temp\Setup-bm.exe
C:\Users\Витя\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Витя\AppData\Local\Temp\sqlite3.dll
C:\Users\Витя\AppData\Local\Temp\tmpE057.exe
C:\Users\Витя\AppData\Local\Temp\UmmyVideoDownloader.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[gluk_balda]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3ef2df8dd4c7a9cf5f7893df6f868440&text= <==== ATTENTION
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2015-01-12]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehfanjejklfmnldbbclpocdbceaeemkn [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-17]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\liignembjmccgkoaikcpfkoeepbnelph [2014-10-05]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman [2014-08-25]
CHR HKU\S-1-5-21-3430153571-2773525882-1605993025-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
NETSVCx32: vhtuicoapz -> C:\Windows\SysWOW64\saqtliw.dll ()
C:\Windows\SysWOW64\saqtliw.dll
2015-05-19 21:01 - 2015-05-19 21:01 - 03932214 _____ () C:\Users\Витя\AppData\Roaming\0A72D6940A72D694.bmp
2015-05-19 19:57 - 2015-05-19 22:01 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-05-19 19:57 - 2015-05-19 22:01 - 00000000 __SHD () C:\ProgramData\Windows
C:\Users\Витя\AppData\Local\Temp\438C7CA8EF4D934D.exe
C:\Users\Витя\AppData\Local\Temp\amigo_setup.exe
C:\Users\Витя\AppData\Local\Temp\AskSLib.dll
C:\Users\Витя\AppData\Local\Temp\B6E818863B6616A3.exe
C:\Users\Витя\AppData\Local\Temp\BaiduAn.Setup.1117.4.0.0.516_1000163737.exe
C:\Users\Витя\AppData\Local\Temp\Baidusd.Setup.3.0.0.4609.youqian_1000163737.exe
C:\Users\Витя\AppData\Local\Temp\jre-8u45-windows-au.exe
C:\Users\Витя\AppData\Local\Temp\KMP_3.9.1.132.exe
C:\Users\Витя\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Витя\AppData\Local\Temp\minimp3.exe
C:\Users\Витя\AppData\Local\Temp\nvSCPAPI.dll
C:\Users\Витя\AppData\Local\Temp\nvStInst.exe
C:\Users\Витя\AppData\Local\Temp\Quarantine.exe
C:\Users\Витя\AppData\Local\Temp\sender.exe
C:\Users\Витя\AppData\Local\Temp\Setup-bm.exe
C:\Users\Витя\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Витя\AppData\Local\Temp\sqlite3.dll
C:\Users\Витя\AppData\Local\Temp\tmpE057.exe
C:\Users\Витя\AppData\Local\Temp\UmmyVideoDownloader.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

Fixlog.txt

[mike 1]

Логи в порядке. С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188

[gluk_balda]

 

Логи в порядке. С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188

 

А вот как щас правильно перестановить ОС,полностью чистить диск д?

[mike 1]

А зачем переставлять систему? Файлы останутся зашифрованными даже после переустановки системы.

[gluk_balda]

А зачем переставлять систему? Файлы останутся зашифрованными даже после переустановки системы.

Почему же? я диск д стирать буду,а когда устанавливать ОС очищу диск С,А как по другому? Они только мешают,из за них не работают большинство приложений(все испортили,а расшифровать, наверное, никак) Или какие варианты есть?

[mike 1]

Если зашифрованные данные с дисков переносить не будете, то да, они тоже удалятся. 

[gluk_balda]

Если зашифрованные данные с дисков переносить не будете, то да, они тоже удалятся. 

я думаю чисто 2 диска удалить.Думаю пройдет

[mike 1]

На будущее рекомендую хотя бы раз в месяц делать резервные копии ценных данных на внешний жесткий диск или облако. Антивирус рекомендую настроить таким образом  http://support.kaspersky.ru/10953