Вирус шифратор файлов .xtbl

[Asmodey Deathhoror]

Три дня назад когда я был на отдыхе дети заразили мой ноутбук. При возвращении сегодня обнаружил что все файлы стали зашифрованы и теперь с расширением.xtbl Заметив шифрование и экранную заставку с требованиями запустил утилиту Doctor web. 1 вирус  был удален (Trojan.PWS.Panda.8087)

, однако файлы также оказались зашифроваными. Утилиты Касперского для расшифровывания в свободном доступе не помогли. Прошу Вас помочь мне

 

CollectionLog-2015.07.22-15.20.zipПолучение информации...

Изменено 22 июля, 2015 пользователем Asmodey Deathhoror

[thyrex]

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
DeleteService('{55685567-4840-4a91-962b-49a412e9485a}w64');
DeleteService('{55685567-4840-4a91-962b-49a412e9485a}Gw64');
DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Asmodey Deathhoror]

[KLAN-2995084147] Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys

Вредоносный код в файле не обнаружен.

{55685567-4840-4a91-962b-49a412e9485a}w64.sys

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ru http://www.viruslist.ru"

 

 

CollectionLog-2015.07.22-18.38.zipПолучение информации...

[Roman_Five]

приложите логи FRST и AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696