Вирус зашифровал данные .xtbl

[Дмитрий Михальченко]

Здравствуйте, пришло письмо на почту в нём был файл с вирусом, зашифровал все документы в .xtbl. Прошу помощи в расшифровке. Файл логов прикрепил.

CollectionLog-2015.08.20-21.25.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Дмитрий Михальченко]

Файлы

Addition.txt

FRST.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
FF Extension: MegaSmiles - C:\Users\Дарья\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\itinfo@new-walk.info [2013-09-26]
FF Extension: PriceGong - C:\Users\Дарья\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829} [2012-09-30]
FF Extension: No Name - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\online_banking@kaspersky.com [not found]
FF Extension: No Name - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\content_blocker@kaspersky.com [not found]
FF Extension: No Name - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 15.0.1\FFExt\virtual_keyboard@kaspersky.com [not found]
FF Extension: No Name - C:\Users\Дарья\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}.xpi [not found]
FF Extension: No Name - C:\Users\Дарья\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru.xpi [not found]
CHR HKLM-x32\...\Chrome\Extension: [fmfnfnpmhcllokmkepffndflpnadjmma] - C:\Program Files (x86)\DealPly\DealPly.crx [2013-03-18]
CHR HKLM-x32\...\Chrome\Extension: [bkomkajifikmkfnjgphkjcfeepbnojok] - C:\Program Files (x86)\PriceGong\2.6.4\pricegong.crx [2012-03-18]
CHR HKLM-x32\...\Chrome\Extension: [poheodfamflhhhdcmjfeggbgigeefaco] - C:\Program Files (x86)\Better-Surf\ch\Chrome.crx <not found>
2015-08-19 20:59 - 2015-08-19 20:59 - 03148854 _____ C:\Users\Дарья\AppData\Roaming\5A93C6F65A93C6F6.bmp
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Дарья\Desktop\README9.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Дарья\Desktop\README8.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Дарья\Desktop\README7.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Дарья\Desktop\README6.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Дарья\Desktop\README5.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Дарья\Desktop\README4.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Дарья\Desktop\README3.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Дарья\Desktop\README2.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Дарья\Desktop\README10.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Дарья\Desktop\README1.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Public\Desktop\README9.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Public\Desktop\README8.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Public\Desktop\README7.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Public\Desktop\README6.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Public\Desktop\README5.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Public\Desktop\README4.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Public\Desktop\README3.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Public\Desktop\README2.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Public\Desktop\README10.txt
2015-08-19 20:59 - 2015-08-19 20:59 - 00000907 _____ C:\Users\Public\Desktop\README1.txt
2015-08-19 13:24 - 2015-08-19 13:24 - 00000907 _____ C:\README9.txt
2015-08-19 13:24 - 2015-08-19 13:24 - 00000907 _____ C:\README8.txt
2015-08-19 13:24 - 2015-08-19 13:24 - 00000907 _____ C:\README7.txt
2015-08-19 13:24 - 2015-08-19 13:24 - 00000907 _____ C:\README6.txt
2015-08-19 13:24 - 2015-08-19 13:24 - 00000907 _____ C:\README5.txt
2015-08-19 13:24 - 2015-08-19 13:24 - 00000907 _____ C:\README4.txt
2015-08-19 13:24 - 2015-08-19 13:24 - 00000907 _____ C:\README3.txt
2015-08-19 13:24 - 2015-08-19 13:24 - 00000907 _____ C:\README2.txt
2015-08-19 13:24 - 2015-08-19 13:24 - 00000907 _____ C:\README10.txt
2015-08-19 13:23 - 2015-08-19 21:18 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-08-19 13:23 - 2015-08-19 21:18 - 00000000 __SHD C:\ProgramData\Windows
2015-08-19 20:50 - 2013-09-26 19:42 - 00000000 ____D C:\Program Files\Zaxar
Task: {20102270-4EC5-4CA9-ADC8-F2ABF9F7F474} - System32\Tasks\DealPlyUpdate => C:\Program <==== ATTENTION
Task: {D4295297-2E68-447A-9192-0555D77767B6} - \DSite -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:07BF512B
AlternateDataStreams: C:\ProgramData\Temp:373E1720
AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A
AlternateDataStreams: C:\ProgramData\Temp:65A7E066
AlternateDataStreams: C:\ProgramData\Temp:A064CECC
AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B
AlternateDataStreams: C:\Users\Все пользователи\Temp:373E1720
AlternateDataStreams: C:\Users\Все пользователи\Temp:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\Temp:65A7E066
AlternateDataStreams: C:\Users\Все пользователи\Temp:A064CECC
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.
  

[Дмитрий Михальченко]

Файл

Fixlog.txt

[thyrex]

С расшифровкой не поможем.

 

Пишите в вирлаб (newvirus@kaspersky.com), указав (приложив к письму) следующую информацию:

• Зашифрованные файлы в архиве
• Файл Readme.txt
• Номер коммерческой лицензии

[Дмитрий Михальченко]

Спасибо за помощь (: