Файлы зашифрованы в .xtbl

[sene4ka]

На ноутбуке появилась проблема - ЧЕРНЫЙ рабочий стол и надпись КРАСНЫМИ буквами:
"ВНИМАНИЕ! Все важные файлы на всех дисках вашего компьютера были зашифрованы." + то же на английском.

 

Файлы зашифрованы с расширением .xtbl и на рабочем столе 10 файлов readme в которых написано:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
7B89F6A3EC179B0FB93|110|2|2
на электронный адрес decode0987@gmail.com или decode098@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


Прошу вашей помощи, файлы на компьютере достаточно важны, фото детей и документы.

На зараженном компьютере мной проделано:
1. Проверка с помощью Kaspersky Virus Removal Tool 15.0.19.0 (и второй раз после обязательной перезагрузки)

Продолжает находить adware, но без вирусов
2. Проверка с помощью Dr.Web CurIt! (версия от 22.06.2015)
Доктор Веб также находит adware.Mutabaha и program.unwanted, но без вирусов

3. Собраны логи при помощи AutoLogger.exe последней версии скачал 22,06,2015

CollectionLog-2015.06.23-00.04.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\SuperClick_1.10.0.16\Update\SuperClickAutoUpdateClient.exe','');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
SetServiceStart('hebufode', 4);
DeleteService('hebufode');
SetServiceStart('IHProtect Service', 4);
DeleteService('IHProtect Service');
QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','');
QuarantineFile('C:\Program Files (x86)\MiuiTab\IeWatchDog.dll','');
TerminateProcessByName('c:\program files (x86)\miuitab\protectservice.exe');
QuarantineFile('c:\program files (x86)\miuitab\protectservice.exe','');
TerminateProcessByName('c:\users\111\appdata\roaming\40649c26-1434109128-df11-904c-ad6b16a25d1f\knsu1f5d.tmp');
QuarantineFile('c:\users\111\appdata\roaming\40649c26-1434109128-df11-904c-ad6b16a25d1f\knsu1f5d.tmp','');
TerminateProcessByName('c:\program files (x86)\miuitab\hpnotify.exe');
QuarantineFile('c:\program files (x86)\miuitab\hpnotify.exe','');
TerminateProcessByName('c:\users\111\appdata\roaming\40649c26-1434109128-df11-904c-ad6b16a25d1f\hnsyd609.tmp');
QuarantineFile('c:\users\111\appdata\roaming\40649c26-1434109128-df11-904c-ad6b16a25d1f\hnsyd609.tmp','');
TerminateProcessByName('c:\program files (x86)\miuitab\cmdshell.exe');
QuarantineFile('c:\program files (x86)\miuitab\cmdshell.exe','');
DeleteFile('c:\program files (x86)\miuitab\cmdshell.exe','32');
DeleteFile('c:\users\111\appdata\roaming\40649c26-1434109128-df11-904c-ad6b16a25d1f\hnsyd609.tmp','32');
DeleteFile('c:\program files (x86)\miuitab\hpnotify.exe','32');
DeleteFile('c:\users\111\appdata\roaming\40649c26-1434109128-df11-904c-ad6b16a25d1f\knsu1f5d.tmp','32');
DeleteFile('c:\program files (x86)\miuitab\protectservice.exe','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\IeWatchDog.dll','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','32');
DeleteFile('C:\Program Files (x86)\SuperClick_1.10.0.16\Update\SuperClickAutoUpdateClient.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SuperClick Auto Updater 1.10.0.16 Core','64');
DeleteFile('C:\Windows\system32\Tasks\SuperClick Auto Updater 1.10.0.16 Pending Update','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[sene4ka]

Выполнил оба скрипта, отправил файл карантина

ответ - KLAN-2893222394

 

Неизвестный файл:

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.
SuperClickAutoUpdateClient.exe
Вредоносный код в файле не обнаружен.
С уважением, Лаборатория Касперского

 

Новые логи прилагаю.

CollectionLog-2015.06.23-16.40.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[sene4ka]

Проверил Farbar'ом

отчет прилагаю

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&q={searchTerms}
HKU\S-1-5-21-2533493394-3776410628-110232544-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662
HKU\S-1-5-21-2533493394-3776410628-110232544-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=185bea2e749a565fd287b0ad8214f7b1&text={searchTerms}
HKU\S-1-5-21-2533493394-3776410628-110232544-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=185bea2e749a565fd287b0ad8214f7b1&text={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> Moikrug URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&ts=1434199888&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> Yandex URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&ts=1434199888&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&ts=1434199888&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&ts=1434199888&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&ts=1434199888&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&ts=1434199888&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&ts=1434199888&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> {419C00B7-376A-49A9-ABAF-0C6360C66950} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&ts=1434199888&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&ts=1434199888&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&ts=1434199888&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&ts=1434199888&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662&ts=1434199888&type=default&q={searchTerms}
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll No File
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
Toolbar: HKLM-x32 - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2533493394-3776410628-110232544-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=185bea2e749a565fd287b0ad8214f7b1&text= <==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662
FF Extension: SuperMegaBest.com - C:\Users\111\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-03-09]
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.mystartsearch.com/?type=sc&ts=1434199721&z=44937d339a59a40d5f2bf1bgaz7c7z2gft8t2m0zag&from=ima&uid=WDCXWD5000BEVT-22A0RT0_WD-WXC1A80U5662U5662
2015-06-22 23:00 - 2015-06-22 23:00 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2015-06-13 15:52 - 2015-06-13 15:53 - 00000000 ____D C:\Program Files (x86)\SuperClick_1.10.0.16
2015-06-13 15:51 - 2015-06-23 01:33 - 00000000 ____D C:\Program Files (x86)\MiuiTab
2015-06-13 15:51 - 2015-06-22 23:41 - 00000000 ____D C:\Users\Все пользователи\WindowsMangerProtect
2015-06-13 15:51 - 2015-06-22 23:41 - 00000000 ____D C:\ProgramData\WindowsMangerProtect
2015-06-13 15:51 - 2015-06-13 15:51 - 00000000 ____D C:\Users\Все пользователи\IHProtectUpDate
2015-06-13 15:51 - 2015-06-13 15:51 - 00000000 ____D C:\ProgramData\IHProtectUpDate
2015-06-13 15:49 - 2015-06-13 15:49 - 00000000 ____D C:\Users\111\AppData\Roaming\mystartsearch
2015-06-13 11:04 - 2015-06-13 11:04 - 04320054 _____ C:\Users\111\AppData\Roaming\71D6EA3371D6EA33.bmp
2015-06-12 14:36 - 2015-04-22 04:48 - 00815304 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
C:\Users\111\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\111\AppData\Local\Temp\fsd2ABE.exe
C:\Users\111\AppData\Local\Temp\fsd2F03.exe
C:\Users\111\AppData\Local\Temp\fsd301D.exe
C:\Users\111\AppData\Local\Temp\fsd30F8.exe
C:\Users\111\AppData\Local\Temp\fsd3212.exe
C:\Users\111\AppData\Local\Temp\fsd332C.exe
C:\Users\111\AppData\Local\Temp\fsd38AC.exe
C:\Users\111\AppData\Local\Temp\fsd3E1A.exe
C:\Users\111\AppData\Local\Temp\fsd3F62.exe
C:\Users\111\AppData\Local\Temp\fsd406D.exe
C:\Users\111\AppData\Local\Temp\fsd4186.exe
C:\Users\111\AppData\Local\Temp\fsd4281.exe
C:\Users\111\AppData\Local\Temp\mailruhomesearchvbm.exe
Task: {0D0F98D6-A682-44CE-B841-2D2B9CE0C6E9} - \SuperClick Auto Updater 1.10.0.16 Core No Task File <==== ATTENTION
Task: {C4DE8CF5-EC8D-40BF-8351-CCB2AA72D57F} - \SuperClick Auto Updater 1.10.0.16 Pending Update No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:0B9176C0
AlternateDataStreams: C:\ProgramData\Temp:4D066AD2
AlternateDataStreams: C:\ProgramData\Temp:5D7E5A8F
AlternateDataStreams: C:\ProgramData\Temp:798A3728
AlternateDataStreams: C:\ProgramData\Temp:93DE1838
AlternateDataStreams: C:\ProgramData\Temp:93EB7685
AlternateDataStreams: C:\ProgramData\Temp:AB689DEA
AlternateDataStreams: C:\ProgramData\Temp:E1F04E8D
AlternateDataStreams: C:\ProgramData\Temp:E36F5B57
AlternateDataStreams: C:\Users\Все пользователи\Temp:0B9176C0
AlternateDataStreams: C:\Users\Все пользователи\Temp:4D066AD2
AlternateDataStreams: C:\Users\Все пользователи\Temp:5D7E5A8F
AlternateDataStreams: C:\Users\Все пользователи\Temp:798A3728
AlternateDataStreams: C:\Users\Все пользователи\Temp:93DE1838
AlternateDataStreams: C:\Users\Все пользователи\Temp:93EB7685
AlternateDataStreams: C:\Users\Все пользователи\Temp:AB689DEA
AlternateDataStreams: C:\Users\Все пользователи\Temp:E1F04E8D
AlternateDataStreams: C:\Users\Все пользователи\Temp:E36F5B57
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[sene4ka]

Выполнено

Fixlog.txt

[thyrex]

Сделайте лог полного сканирования МВАМ

[sene4ka]

сделал лог

Господа, а это возможно восстановить?

log.txt

[thyrex]

Удалите в МВАМ все, кроме

RiskWare.Tool.HCK, C:\Program Files\Yamicsoft\Windows 7 Manager\keygen.exe, , [7111b6082b5f9c9a0a26fa7a868012ee],
Trojan.Dropped, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\I386\SVCPACK\DotNet11.exe, , [562c12acc5c5ae88b3e7118c946e2bd5],
Trojan.Dropped, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\I386\SVCPACK\MyTheme.exe, , [e999ba04b8d295a11387c3da6b97e51b],
Trojan.Dropped, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\I386\SVCPACK\RUNONCEEX.exe, , [b8ca348af595e74faaf06637b34f728e],
Trojan.FakeMS.ED, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\I3pe\SYSTEM32\DMDLGS.DLL, , [1f63f9c594f68aacc74b38a548b83dc3],
Malware.Packer.Gen, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\I3pe\SYSTEM32\ES.DLL, , [ff83a91586041e181573572eb947966a],
Malware.Packer.Gen, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\I3pe\SYSTEM32\IMAGEHLP.DLL, , [e89a4b73f2981c1ae89dceb709f7e31d],
Malware.Packer.Gen, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\I3pe\SYSTEM32\ODBC32.DLL, , [1171a6187b0fba7caeda364f54acd030],
Malware.Packer.Gen, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\I3pe\SYSTEM32\MSV1_0.DLL, , [8bf7dbe39ded181e820115707e829c64],
Malware.Packer.Gen, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\I3pe\SYSTEM32\OLEACC.DLL, , [5929219d5b2fc4726a19592c9e6232ce],
Trojan.Agent, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\I3pe\SYSTEM32\WTSAPI32.DLL, , [96ec615db2d8979f8bcd6b1dec14ca36],
Trojan.Dropped, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\WPI\Install\Archiver\CabTools.exe, , [99e9a816deac1c1a6832aaf3a55ddb25],
RiskWare.Tool.CK, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\WPI\Install\KeyGen\O&o_defrag_pro.exe, , [0082605e62282f07cfbbd615c63b31cf],
RiskWare.Tool.HCK, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\WPI\Install\KeyGen\Snagit.exe, , [2d55427cb4d6d95d7fe581cf778be917],
Backdoor.RBot, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\WPI\Install\KeyGen\Tu2008 Keymaker.exe, , [077b8539b0da2d0912f2fc5c42c4bd43],
Trojan.Dropper.PGen, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\WPI\Install\KeyGen\Your_uninstaller_2008.exe, , [96ece9d5fc8ec3731146a5e63fc1e51b],
Trojan.Dropped, C:\Users\111\Documents\????N?N?\XTreme_DVD_v7.8\WPI\Install\Security\Outpost4.0.exe, , [176bdce2becc191d9bfffda0cb37bd43],
PUP.Optional.OpenCandy, C:\Users\111\Downloads\skype-6.14.0.104.exe, , [9fe3a41a66249f979f647104cb3b59a7],

[sene4ka]

сделано, исчезла надпись, остался чёрный фон и зашифрованные файлы.

Какие дальнейшие действия?

[thyrex]

Мусор почистили.

 

С расшифровкой не поможем.

 

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии