ransom.shade все файлы зашифрованы

[werter]

Здравствуйте!

 

На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков.

А все файлы зашифровались с расширением.xtbl,

например вот: Rww42Mlfn6XzWbU6iwOkOFHsUuWxmqxN2KO+IAwWRi3F58g27fDfIWUy9yLMfYiE.xtbl

 

В многочисленных текстовиках созданных вирусом пишется вот это:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

F933440001EAC70D05F7|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

F933440001EAC70D05F7|0

to e-mail address decode010@gmail.com or decode1110@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Что мне делать в этой ситуации?? 
Заранее огромное спасибо

CollectionLog-2015.06.21-03.39.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
DelBHO('{57FC7EA7-2F0D-4F3E-89BB-A1651B3F39AA}');
QuarantineFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','');
QuarantineFile('C:\Users\1\AppData\Local\Mail.ru\Sputnik\ptls\8em7nnUwhFhZ.exe','');
QuarantineFile('C:\Users\1\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','32');
DeleteFile('C:\Users\1\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
DeleteFile('C:\Users\1\AppData\Local\Mail.ru\Sputnik\ptls\8em7nnUwhFhZ.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8em7nnUwhFhZ');
DeleteFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','32');
DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DF075915CB4A1B3562.TMP','32');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DF206B0C23442E50F8.TMP','32');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DF484186DE548AEB32.TMP','32');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DF59FD5051EA03F71B.TMP','32');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DF860816310DEEF1B5.TMP','32');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DFA6E4F5AA047398A0.TMP','32');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DFF6C9A98DB3051C1B.TMP','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[werter]

Вот ответ на сообщение 

[KLAN-2889566680

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

[thyrex]

Новые логи где?

[werter]

а как их создать? где правила можно найти?

Разобрался, точнее вспомнил, сейчас все сделаю

Изменено 21 июня, 2015 пользователем werter

[Mark D. Pearlstone]

@werter, также, как вы создавали для первого сообщения.

[werter]

Новые логи где?

извиняюсь за столь поздний ответ

вот новые логи

CollectionLog-2015.06.28-18.30.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[werter]

наконец-то сделал, то, что вы просили
Вот те самое полное сканирование
пока ничего не удалял
удалять ли мне что-либо?

логи.txt

Изменено 19 июля, 2015 пользователем werter

[thyrex]

Удалите в МВАМ все, кроме

RiskWare.Tool.CK, C:\Users\1\Desktop\CS4_RU\Keygen\keygen.exe, , [75c84b986f1b51e551ad48b6e31e7d83], 
Trojan.Dropped, C:\Users\1\Desktop\?????????°\I386\SVCPACK\RESPATCH.EXE, , [15283ca7860437fff1b506cf659c966a], 
Trojan.Ransom.ED, C:\Users\1\Downloads\Windows_XP_WinToFlash_2013-spaces.ru.exe, , [ed50b42faae095a1e4236d03659c39c7], 
PUP.Optional.Bunndle, C:\Users\1\Downloads\urkad1 mou jeny 2014 l web-dlrip 1400mb avi.exe, , [d865a83b25650d29c8c072cd9f61ae52], 
Trojan.Dropped, C:\Users\1\Downloads\?????????°\I386\SVCPACK\RESPATCH.EXE, , [1a23d310b7d3a195d3d3d6ff7b86ad53], 
Trojan.Ransom.ED, C:\Users\1\Downloads\?????????°\Windows_XP_WinToFlash_2013\WinToFlash (?±???»?µ?µ ???????°N? ???µN?N???N?)\ValueAdd\3rdParty\simplix\AntiSMS.exe, , [80bd5c872c5e1d19c04793dd9a673dc3], 
PUP.Wpakill, C:\Users\1\Downloads\?????????° 2\Windows_XP_x64_by_Asp.Net\$OEM$\WPA\ANTIWPA.DLL, , [b5880ed54743e74f36af063c3cc9b848], 
Trojan.Ransom.ED, C:\Users\1\Downloads\Windows_XP_WinToFlash_2013\WinToFlash (?±???»?µ?µ ???????°N? ???µN?N???N?)\ValueAdd\3rdParty\simplix\AntiSMS.exe, , [41fc776ce8a20f279b6ced837c85ef11],

[werter]

сделано
что далее?

Изменено 19 июля, 2015 пользователем werter

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[werter]

сделано
программа впервые была запущена

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1767382441-4107314503-467731081-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1767382441-4107314503-467731081-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1767382441-4107314503-467731081-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: SocialLife for Firefox™ - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\mz6vrq80.default\Extensions\extension@sl.dev.xpi [2015-06-18]
FF Extension: No Name - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\mz6vrq80.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-branding.js [2010-10-06]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-l10n.js [2010-10-06]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox.js [2010-10-06]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\reporter.js [2010-10-06]
CHR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-06-21]
CHR HKLM-x32\...\Chrome\Extension: [bfdlbgbpgjichdjjmkdcpagfggicjfom] - C:\Program Files (x86)\Аудио и видео скачивание\avdownloader-sk.crx [Not Found]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\aapcjgafljhokjfbeebpiddfjpjjcdem [2015-02-21]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-06-08]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2015-02-12]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-05-27]
C:\Users\1\AppData\Local\Temp\1PVIYdDWlRj1.exe
C:\Users\1\AppData\Local\Temp\4B7F10373F983118.exe
C:\Users\1\AppData\Local\Temp\56BCD44C198FD981.exe
C:\Users\1\AppData\Local\Temp\811D97D186E3776.exe
C:\Users\1\AppData\Local\Temp\8806478A795B11B7.exe
C:\Users\1\AppData\Local\Temp\8em7nnUwhFhZ.exe
C:\Users\1\AppData\Local\Temp\amigo_setup.exe
C:\Users\1\AppData\Local\Temp\ap3tq0fb.dll
C:\Users\1\AppData\Local\Temp\bAlB1lQLpgNo.exe
C:\Users\1\AppData\Local\Temp\contentDATs.exe
C:\Users\1\AppData\Local\Temp\dhXwYx7aUzrt.exe
C:\Users\1\AppData\Local\Temp\htPTM7GeOeTj.exe
C:\Users\1\AppData\Local\Temp\IFSXCn6CwW2n.exe
C:\Users\1\AppData\Local\Temp\SF0V1dgma4zg.exe
C:\Users\1\AppData\Local\Temp\SkypeSetup.exe
C:\Users\1\AppData\Local\Temp\toolbar244187428.exe
C:\Users\1\AppData\Local\Temp\toolbar62957838.exe
C:\Users\1\AppData\Local\Temp\Vl8p1YT2lieH.exe
Task: {1CF35626-6AF5-4C49-A907-2A8309B31450} - \Microsoft\Windows\extsetup No Task File <==== ATTENTION
Task: {66703D95-A4D1-4D49-BF8A-A97340D62488} - \extsetup No Task File <==== ATTENTION
Task: {6FC13297-54AE-4407-A794-B1BD86C16494} - System32\Tasks\Express Files Updater => C:\Program Files (x86)\ExpressFiles\EFupdater.exe [2012-03-19] (http://www.express-files.com/) <==== ATTENTION
Task: {9230918B-19F1-499F-96DE-E8B39A3073FA} - \chrome5 No Task File <==== ATTENTION
Task: {C8FB4129-A063-46DB-8638-37A306DEC496} - \Safebrowser No Task File <==== ATTENTION
Task: {CFD03A93-26D3-4B90-BCD2-0D11DC81F0B6} - \chrome5_logon No Task File <==== ATTENTION
Task: {E6C3EBAE-AF83-45C5-B27F-9B9D1B278E8F} - \Kbupdater Utility No Task File <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[werter]

сделано.

Fixlog.txt