ransom.shade зашифровались файлы в xtbl

[favorit080]

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

E931E159C79B25338DE9|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Как можно излечить?

Лог файл 9 Мб, как быть?

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] - правила

 

 

 

Лог файл 9 Мб, как быть?

Возможно вы пытаетесь загрузить карантин на форум, а не сам лог.

[favorit080]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] - правила

 

 

Лог файл 9 Мб, как быть?

Возможно вы пытаетесь загрузить карантин на форум, а не сам лог.

Прикладываю лог файл. Надеюсь на Вашу помощь

CollectionLog-2015.06.05-09.30.zip

[thyrex]

Ace Stream Media 2.2.7-next удалите через Установку программ

 

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\user\AppData\Roaming\cppredistx86.exe','');
TerminateProcessByName('c:\users\user\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\user\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
TerminateProcessByName('c:\users\user\appdata\roaming\acestream\updater\ace_update.exe');
TerminateProcessByName('c:\users\user\appdata\roaming\acestream\engine\ace_engine.exe');
DeleteFile('c:\users\user\appdata\roaming\acestream\engine\ace_engine.exe','32');
DeleteFile('c:\users\user\appdata\roaming\acestream\updater\ace_update.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\users\user\appdata\roaming\ssleas.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\user\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\Users\user\appdata\roaming\acestream\engine\lib\ctools.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Сделайте новые логи по правилам

[favorit080]

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

[KLAN-2835303991]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

 

cppredistx86.exe - Trojan.Win32.Agent.icym

csrss.exe - Trojan-Ransom.NSIS.Onion.vp

ssleas.exe - Trojan.Win32.Kesels.a

 

Детектирование файлов будет добавлено в следующее обновление.

 

С уважением, Лаборатория Касперского

Ace Stream Media 2.2.7-next удалите через Установку программ

 

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\user\AppData\Roaming\cppredistx86.exe','');
TerminateProcessByName('c:\users\user\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\user\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
TerminateProcessByName('c:\users\user\appdata\roaming\acestream\updater\ace_update.exe');
TerminateProcessByName('c:\users\user\appdata\roaming\acestream\engine\ace_engine.exe');
DeleteFile('c:\users\user\appdata\roaming\acestream\engine\ace_engine.exe','32');
DeleteFile('c:\users\user\appdata\roaming\acestream\updater\ace_update.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\users\user\appdata\roaming\ssleas.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\user\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\Users\user\appdata\roaming\acestream\engine\lib\ctools.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

 

• Распакуйте архив с утилитой в отдельную папку.

   

   

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

   

  

   

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

   

   

• Прикрепите этот отчет к своему следующему сообщению.

   

   

 

 

Сделайте новые логи по правилам

 

 

Не могу найти  Check_Browsers_LNK.log , в папке есть только EXE файл

[thyrex]

В архиве с логами  Check_Browsers_LNK.log откуда-то появился же

[favorit080]

Каким образом должен сформироваться файл Check_Browsers_LNK.log ?

[thyrex]

В сообщении №6 я ответил

[favorit080]

В архиве с логами  Check_Browsers_LNK.log откуда-то появился же

понял, его перетащить из автологгера. НЕ сразу дошло :)

В сообщении №6 я ответил

Уважаемые коллеги, шансы спасти файлы вообще есть?

ClearLNK-05.06.2015_13-40.log

[thyrex]

 

 

Уважаемые коллеги, шансы спасти файлы вообще есть?

Как вариант, http://virusinfo.info/showthread.php?t=156188

 

Новые логи по правилам так и не сделали

[favorit080]

 

Уважаемые коллеги, шансы спасти файлы вообще есть?

Как вариант, http://virusinfo.info/showthread.php?t=156188

 

Новые логи по правилам так и не сделали

 

Только закончилось выполнение, отправляю

 

 

Уважаемые коллеги, шансы спасти файлы вообще есть?

Как вариант, http://virusinfo.info/showthread.php?t=156188

 

Новые логи по правилам так и не сделали

 

Только закончилось выполнение, отправляю

 

Увы, не подходит, не создано точек восстановления. :-(

CollectionLog-2015.06.05-14.27.zip

[thyrex]

Пофиксите в HiJack

O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

В остальном порядок

 

 

 

 

Увы, не подходит, не создано точек восстановления.

Помогут только злодеи, значит

[favorit080]

 

Пофиксите в HiJack

O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

В остальном порядок

 

 

 

 

Увы, не подходит, не создано точек восстановления.

Помогут только злодеи, 

 

Получается вообще ничего нельзя сделать????

[thyrex]

Увы