Ваши файлы были зашифрованы.

[astrospam 0]

На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)

А все файлы зашифровались в белиберду с расширением.xtbl,



В многочисленных текстовиках созданных вирусом пишется вот это:


 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
F08FB328DE63FF1FC1BA|0
на электронный адрес files100005@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
F08FB328DE63FF1FC1BA|0
to e-mail address files100005@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.11.26-15.27.zip

Изменено 26 ноября, 2015 пользователем astrospam

[thyrex 1 418]

application extension version 1.5

Webalta Toolbar

удалите через Установку программ

 

 

c:\documents and settings\user\appdata\local\baidu\baiduclient

C:\Program Files\360\Total Security

 

 

сами устанавливали?

[astrospam 0]

C:\Program Files\360\Total Security  сам
 

 

(application extension version 1.5
Webalta Toolbar)  удалил



а есть возможность расшифровать файлы?

[thyrex 1 418]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[astrospam 0]

Готово

FRST.txt

Addition.txt

[thyrex 1 418]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:????????
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:????????Crash??
DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe] => Enabled:????-???
DomainProfile\AuthorizedApplications: [C:\Documents and Settings\User\AppData\Local\Baidu\BaiduClient\2.1.0.1312\Baidu.exe] => Enabled:?????
DomainProfile\AuthorizedApplications: [C:\Documents and Settings\User\AppData\Local\Baidu\BaiduClient\2.1.0.1312\BaiduClientRender.exe] => Enabled:??????
DomainProfile\AuthorizedApplications: [C:\Documents and Settings\User\AppData\Local\Baidu\BaiduClient\2.1.0.1312\BaiduUpdate.exe] => Enabled:??????
DomainProfile\AuthorizedApplications: [C:\Documents and Settings\User\AppData\Local\Baidu\BaiduClient\2.1.0.1312\BaiduBugRpt.exe] => Enabled:????????
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:????????
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:????????Crash??
StandardProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe] => Enabled:????-???
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\User\AppData\Local\Baidu\BaiduClient\2.1.0.1312\Baidu.exe] => Enabled:?????
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\User\AppData\Local\Baidu\BaiduClient\2.1.0.1312\BaiduClientRender.exe] => Enabled:??????
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\User\AppData\Local\Baidu\BaiduClient\2.1.0.1312\BaiduUpdate.exe] => Enabled:??????
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\User\AppData\Local\Baidu\BaiduClient\2.1.0.1312\BaiduBugRpt.exe] => Enabled:????????
SearchScopes: HKU\S-1-5-21-1275210071-764733703-682003330-1004 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1275210071-764733703-682003330-1004 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1275210071-764733703-682003330-1004 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
OPR Extension: (The Safe Surfing) - C:\Documents and Settings\User\Application Data\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-11-16]
2015-11-26 14:30 - 2015-11-26 14:30 - 02764854 _____ C:\Documents and Settings\User\Application Data\4EB95D7F4EB95D7F.bmp
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\User\Рабочий стол\README9.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\User\Рабочий стол\README8.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\User\Рабочий стол\README7.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\User\Рабочий стол\README6.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\User\Рабочий стол\README5.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\User\Рабочий стол\README4.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\User\Рабочий стол\README3.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\User\Рабочий стол\README2.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2015-11-26 14:30 - 2015-11-26 14:30 - 00000843 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2015-11-26 14:06 - 2015-11-26 14:06 - 00000843 _____ C:\README9.txt
2015-11-26 14:06 - 2015-11-26 14:06 - 00000843 _____ C:\README8.txt
2015-11-26 14:06 - 2015-11-26 14:06 - 00000843 _____ C:\README7.txt
2015-11-26 14:06 - 2015-11-26 14:06 - 00000843 _____ C:\README6.txt
2015-11-26 14:06 - 2015-11-26 14:06 - 00000843 _____ C:\README5.txt
2015-11-26 14:06 - 2015-11-26 14:06 - 00000843 _____ C:\README4.txt
2015-11-26 14:06 - 2015-11-26 14:06 - 00000843 _____ C:\README3.txt
2015-11-26 14:06 - 2015-11-26 14:06 - 00000843 _____ C:\README2.txt
2015-11-26 14:06 - 2015-11-26 14:06 - 00000843 _____ C:\README10.txt
2015-11-26 14:05 - 2015-11-26 14:59 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2015-11-03 13:23 - 2015-11-03 13:23 - 00000068 _____ C:\windows\QMNetworkMgr.ini
2015-11-03 13:09 - 2015-11-03 13:09 - 00030392 _____ (Tencent) C:\windows\system32\Drivers\TS888.sys
2015-11-03 13:08 - 2015-11-03 13:08 - 00000000 ____D C:\Documents and Settings\All Users\TXQMPC
2015-11-03 13:00 - 2015-11-03 13:01 - 00000000 ____D C:\Program Files\Common Files\Tencent
2015-11-03 13:00 - 2015-11-03 13:00 - 00000000 ____D C:\Documents and Settings\LocalService\Application Data\Tencent
2015-11-03 13:00 - 2015-11-03 12:59 - 00067896 _____ (????) C:\windows\system32\TSSK.sys
2015-11-03 12:59 - 2015-11-03 13:04 - 00000000 ____D C:\Documents and Settings\User\Application Data\Tencent
2015-11-03 12:59 - 2015-11-03 13:02 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Tencent
2015-11-03 12:59 - 2015-11-03 12:59 - 00000000 ____D C:\Program Files\Tencent
2015-11-03 12:57 - 2015-11-03 12:57 - 00000000 ____D C:\Documents and Settings\All Users\Baidu
2015-11-03 12:56 - 2015-11-03 13:29 - 00000000 ____D C:\Documents and Settings\User\Application Data\Baidu
2015-11-03 12:56 - 2015-11-03 13:27 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Baidu
2015-10-16 13:18 - 2015-11-26 15:17 - 00000000 ____D C:\Documents and Settings\User\Application Data\Browsers
S1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys [X]
S3 TS888; \??\C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys [X]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.