Все файлы зашифрованы. Расширение .xtbl

[karas]

Добрый день у меня такая же история, помогите пожалуйста.

 

вот что пишет у меня

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
87C3231BE64E4482FF9D|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

CollectionLog-2015.07.06-19.19.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\Нюша\appdata\roaming\microsoft\windows\start menu\programs\startup\system.pif');
 QuarantineFile('C:\Users\Нюша\appdata\roaming\ssleas.exe','');
 QuarantineFile('C:\Users\Нюша\AppData\Roaming\cppredistx86.exe','');
 QuarantineFile('c:\users\Нюша\appdata\roaming\microsoft\windows\start menu\programs\startup\system.pif','');
 DeleteFile('C:\Users\Нюша\appdata\roaming\ssleas.exe','32');
 DeleteFile('C:\Users\Нюша\appdata\roaming\cppredistx86.exe','32');
 DeleteFile('C:\Users\Нюша\appdata\roaming\microsoft\windows\start menu\programs\startup\system.pif','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME

 

Сделайте новые логи по правилам (только пункт 2).
+
лог FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[karas]

KLAN-2948452959

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xmt

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ssleas.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

system.pif - Trojan.Win32.Fsysna.ccuv

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

CollectionLog-2015.07.06-20.27.zip

FRST.txt

Addition.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
FF Extension: PhoenixGuard - C:\Users\Нюша\AppData\Roaming\Mozilla\Firefox\Profiles\ngkzocuq.default\Extensions\jid1-mQ4tv5noZTml7A@jetpack.xpi [2015-07-03]
FF Extension: Everysale.Net - C:\Users\Нюша\AppData\Roaming\Mozilla\Firefox\Profiles\ngkzocuq.default\Extensions\{4d31e4c9-ce86-4b0f-8ffb-56345a8b5f6c}.xpi [2015-07-03]
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value
OPR Extension: (Everysale.Net) - C:\Users\Нюша\AppData\Roaming\Opera Software\Opera Stable\Extensions\mafpbclkdiejmpjnmioihcafdnlbmkco [2015-07-03]
OPR Extension: (PhoenixGuard v2.0 - бесплатный антивирус) - C:\Users\Нюша\AppData\Roaming\Opera Software\Opera Stable\Extensions\nkooappjeoniffjmoplbagpngedkckpl [2015-07-03]
2015-07-03 22:19 - 2015-07-03 22:19 - 03148854 _____ C:\Users\Нюша\AppData\Roaming\1599BE8D16B97455.bmp
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Нюша\Desktop\README9.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Нюша\Desktop\README8.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Нюша\Desktop\README7.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Нюша\Desktop\README6.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Нюша\Desktop\README5.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Нюша\Desktop\README4.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Нюша\Desktop\README3.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Нюша\Desktop\README2.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Нюша\Desktop\README10.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Нюша\Desktop\README1.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-07-03 22:11 - 2015-07-03 22:11 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-07-03 20:49 - 2015-07-03 20:49 - 00000000 ____D C:\Users\Нюша\AppData\Roaming\phoenixguard
2015-07-03 20:49 - 2015-07-03 20:49 - 00000000 ____D C:\Users\Нюша\AppData\Roaming\everysale4
2015-07-03 20:39 - 2015-07-03 20:39 - 00000893 _____ C:\README9.txt
2015-07-03 20:39 - 2015-07-03 20:39 - 00000893 _____ C:\README8.txt
2015-07-03 20:39 - 2015-07-03 20:39 - 00000893 _____ C:\README7.txt
2015-07-03 20:39 - 2015-07-03 20:39 - 00000893 _____ C:\README6.txt
2015-07-03 20:39 - 2015-07-03 20:39 - 00000893 _____ C:\README5.txt
2015-07-03 20:39 - 2015-07-03 20:39 - 00000893 _____ C:\README4.txt
2015-07-03 20:39 - 2015-07-03 20:39 - 00000893 _____ C:\README3.txt
2015-07-03 20:39 - 2015-07-03 20:39 - 00000893 _____ C:\README2.txt
2015-07-03 20:39 - 2015-07-03 20:39 - 00000893 _____ C:\README10.txt
2015-07-03 20:39 - 2015-07-03 20:39 - 00000893 _____ C:\README1.txt
2015-07-03 20:38 - 2015-07-03 20:38 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-03 20:38 - 2015-07-03 20:38 - 00000000 __SHD C:\ProgramData\Windows
2015-07-03 20:29 - 2015-07-03 20:29 - 0371216 _____ () C:\Users\Нюша\AppData\Roaming\data13.dat
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[karas]

Сделал.

Fixlog.txt

[thyrex]

С расшифровкой не поможем

[karas]

• Получается система чиста?

Спасибо.

[mike 1]

Да. Несколько файлов в архиве пришлите.

[karas]

Те, которые зашифрованы?

[mike 1]

Да.

[karas]

теоритически это были фото

Pictures.rar

[mike 1]

При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет.