xtbl шифровальщик помогите восстановить файлы

[cobon]

Здравствуйте, прошу помощи в расшифровке файлов после вандализма шифровальщика. Компьютер чист проверен Антивирусом Касперского. Во вложении зашифрованный файл и файл READMY с требованиями. Очень надеюсь на Вашу помощь.

README4.txt

 

A+2T2uuqRDMDqQRGKmjVfsiIFIkJVIs6-2RHuM7Ede5S1kex57iHDRQ-SamWwVXjX-o5929ebVLOEqykuRInf4htQtdrLsEJybaxsBPZW6BrsKBSDND313nby-ey3K98hludhDOLC0BRs4y5zzNQew==.zip

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] - правила.

 

 

 

 Компьютер чист проверен Антивирусом Касперского.

Я так не думаю.

[cobon]

CollectionLog-2015.07.10-17.11.zip

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] - правила.

 

 

 

 Компьютер чист проверен Антивирусом Касперского.

Я так не думаю.

Прошу прошения за нарушения. Компьютер проверен Kaspersky Virus Removal Tool 2015 базы от 10.07.15 

CollectionLog-2015.07.10-17.11.zip

 

Программой  Kaspersky Virus Removal Tool 2015 проверку произвел компьютер чист.

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Качан\appdata\local\pricefountain\pricefountainw.exe','');
QuarantineFile('C:\Users\Качан\appdata\local\pricefountain\pricefountain.exe','');
QuarantineFile('C:\Users\79D8~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
DelBHO('{b608cc98-54de-4775-96c9-097de398500c}');
QuarantineFile('C:\Users\Качан\AppData\Local\PriceFountain\pricefountainw.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Users\Качан\AppData\Local\PriceFountain\PriceFountainIE.dll','');
DeleteFile('C:\Users\Качан\AppData\Local\PriceFountain\PriceFountainIE.dll','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
DeleteFile('C:\Users\Качан\AppData\Local\PriceFountain\pricefountainw.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pricefountainw.exe','command');
DeleteFile('C:\Users\Качан\AppData\Roaming\AC795859\bin.exe','32');
DeleteFile('C:\Users\Качан\AppData\Roaming\Gameo\gameo.dat','32');
DeleteFile('C:\Users\Качан\AppData\Roaming\Gameo\gameo.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gameo','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AC795859','command');
DeleteFile('C:\Users\79D8~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
DeleteFile('C:\Users\Качан\appdata\local\pricefountain\pricefountain.exe','32');
DeleteFile('C:\Users\Качан\appdata\local\pricefountain\pricefountainw.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[cobon]

Выполнил

Что за номер  KLAN

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

pricefountain.exe,
PriceFountainIE.dll,
pricefountainw.exe

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

 

KLAN-2966759501

Обновлённые логи.

 

Сообщение от модератора Mark D. Pearlstone

Не прикрепляйте quarantine.zip на форум. Файл удалён.

Спасибо за науку. Будет ли результат с расшифровкой?

CollectionLog-2015.07.12-18.42.zip

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[cobon]

Отчет во вложении.

AdwCleanerR0.txt

[Roman_Five]

удалите всё найденное в AdwCleaner

новый лог приложите

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

[cobon]

Все сделал файл во вложении.

AdwCleanerS0.txt

[Roman_Five]

чисто.
 

для возможной расшифровки:
1) http://virusinfo.info/showthread.php?t=156188
2) обратиться в ТП вендора антивируса
3) заплатить злоумышленникам 

[cobon]

Пункт 2 разъясните пожалуйста

[mike 1]

При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет.

[cobon]

Спасибо уже обратился.