Junior Member
Вес репутации
34
Здравствуйте! Помогите с вирусом шифровальщиком.
Доброго времени суток, вынужден просить вашей помощи. Родители поймали вирус ползая по интернету, все файлы зашифровались и стали с расширением *.xtbl, рылся в интернете и понял что самостоятельно мне их не дешифровать, возможен ли вариант их восстановить? есть фотографии, которые нигде уже не достать. Буду благодарен за любую помощь.
З.Ы. Заранее примного благодарен.
ссылка на пример зашифрованного файла http://file.sampo.ru/z3s4f6/
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Moon9i , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
34
Сообщение от
thyrex
Скачайте
Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Вот пожалуйста, прикрепил файлы.
Вложения
Из двух антивирусов оставьте какой-либо один
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [ShareOverlay] -> {594D4122-1F87-41E2-96C7-825FB4796516} => C:\Program Files\Classic Shell\ClassicExplorer32.dll No File
ShellIconOverlayIdentifiers-x32: [ShareOverlay] -> {594D4122-1F87-41E2-96C7-825FB4796516} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-143168338-2743163652-1721718596-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1414409162&from=sky&uid=SAMSUNGXHD322GJ_S2BJJ90Z615498&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1414409162&from=sky&uid=SAMSUNGXHD322GJ_S2BJJ90Z615498
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1414409162&from=sky&uid=SAMSUNGXHD322GJ_S2BJJ90Z615498&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1414409162&from=sky&uid=SAMSUNGXHD322GJ_S2BJJ90Z615498&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1414409162&from=sky&uid=SAMSUNGXHD322GJ_S2BJJ90Z615498&q={searchTerms}
SearchScopes: HKU\S-1-5-21-143168338-2743163652-1721718596-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1414409162&from=sky&uid=SAMSUNGXHD322GJ_S2BJJ90Z615498&q={searchTerms}
BHO: No Name -> {3d42f68e-5e02-4013-9af9-478f8edcf9f8} -> No File
BHO: ExplorerBHO Class -> {449D0D6E-2412-4E61-B68F-1CB625CD9E52} -> C:\Program Files\Classic Shell\ClassicExplorer32.dll No File
BHO: No Name -> {4fae5bab-d962-4ffb-b391-e187b9efee92} -> No File
BHO: No Name -> {924833a0-4488-467a-b2b5-062008626cb7} -> No File
BHO: No Name -> {af8dc366-a3f1-4074-bc1c-e0490c7750dc} -> No File
BHO-x32: No Name -> {3d42f68e-5e02-4013-9af9-478f8edcf9f8} -> No File
BHO-x32: No Name -> {449D0D6E-2412-4E61-B68F-1CB625CD9E52} -> No File
BHO-x32: No Name -> {4fae5bab-d962-4ffb-b391-e187b9efee92} -> No File
BHO-x32: No Name -> {924833a0-4488-467a-b2b5-062008626cb7} -> No File
BHO-x32: No Name -> {af8dc366-a3f1-4074-bc1c-e0490c7750dc} -> No File
BHO-x32: No Name -> {EA801577-E6AD-4BD5-8F71-4BE0154331A4} -> No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKLM - Classic Explorer Bar - {553891B7-A0D5-4526-BE18-D3CE461D6310} - C:\Program Files\Classic Shell\ClassicExplorer32.dll No File
Toolbar: HKLM-x32 - No Name - {553891B7-A0D5-4526-BE18-D3CE461D6310} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1414409162&from=sky&uid=SAMSUNGXHD322GJ_S2BJJ90Z615498
FF Extension: PrinceCooUUpooN - C:\Users\Misha\AppData\Roaming\Mozilla\Firefox\Profiles\nl7yp5b3.default\Extensions\[email protected] [2014-12-24]
FF Extension: EasYteoshop - C:\Users\Misha\AppData\Roaming\Mozilla\Firefox\Profiles\nl7yp5b3.default\Extensions\[email protected] [2015-01-16]
FF Extension: ApptoU - C:\Users\Misha\AppData\Roaming\Mozilla\Firefox\Profiles\nl7yp5b3.default\Extensions\[email protected] [2014-11-30]
FF Extension: FLashCuoupon - C:\Users\Misha\AppData\Roaming\Mozilla\Firefox\Profiles\nl7yp5b3.default\Extensions\[email protected] [2014-12-27]
FF Extension: TicTaCouppon - C:\Users\Misha\AppData\Roaming\Mozilla\Firefox\Profiles\nl7yp5b3.default\Extensions\[email protected] [2014-12-11]
FF Extension: TicTaCCoupoon - C:\Users\Misha\AppData\Roaming\Mozilla\Firefox\Profiles\nl7yp5b3.default\Extensions\[email protected] [2015-01-16]
FF Extension: CoupScanneer - C:\Users\Misha\AppData\Roaming\Mozilla\Firefox\Profiles\nl7yp5b3.default\Extensions\[email protected] [2014-12-27]
FF Extension: saver box - C:\Users\Misha\AppData\Roaming\Mozilla\Firefox\Profiles\nl7yp5b3.default\Extensions\[email protected] [2014-11-19]
FF Extension: deual4ume - C:\Users\Misha\AppData\Roaming\Mozilla\Firefox\Profiles\nl7yp5b3.default\Extensions\[email protected] [2014-12-27]
CHR Extension: (No Name) - C:\Users\Misha\AppData\Local\Google\Chrome\User Data\Default\Extensions\acdgodjffnfkeciofehiiehjmmafanng [2014-12-11]
CHR Extension: (No Name) - C:\Users\Misha\AppData\Local\Google\Chrome\User Data\Default\Extensions\aminlpmkfcdibgpgfajlgnamicjckkjf [2014-11-17]
CHR Extension: (No Name) - C:\Users\Misha\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh [2015-01-27]
CHR Extension: (No Name) - C:\Users\Misha\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfjohdhhdfnbnleaagegogfdfgkbfgcg [2015-01-06]
CHR Extension: (No Name) - C:\Users\Misha\AppData\Local\Google\Chrome\User Data\Default\Extensions\edefbbbcggajdncnoingicdckbhngpcj [2014-12-24]
CHR Extension: (No Name) - C:\Users\Misha\AppData\Local\Google\Chrome\User Data\Default\Extensions\efbhlfclaihgohcnkofaifcbgpngnfme [2014-11-27]
CHR Extension: (No Name) - C:\Users\Misha\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2015-01-27]
CHR Extension: (No Name) - C:\Users\Misha\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2014-11-17]
CHR Extension: (No Name) - C:\Users\Misha\AppData\Local\Google\Chrome\User Data\Default\Extensions\hlcbagiiepbjgkfjhakhilgeikkoapem [2015-02-12]
CHR Extension: (No Name) - C:\Users\Misha\AppData\Local\Google\Chrome\User Data\Default\Extensions\jgplakhhiofpgplgbjgohnjfnkiafncd [2015-01-14]
CHR Extension: (No Name) - C:\Users\Misha\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmbdmchmkmjamopihbpmnknbkflciolk [2014-12-22]
CHR Extension: (No Name) - C:\Users\Misha\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfgjjlnidkopfimlhcfcjhakhifbnmof [2015-02-25]
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [floliaooiknlkomgicdodamdihnhjgni] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lejgaailkdamkibfiedjjnejcibjgljl] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mibfbmhijjgpkmobcfdlelpccpeafoom] - No Path Or update_url value
CHR HKLM-x32\...\Chrome\Extension: [nldekieodmkceimbjnaboonipiaakoel] - https://clients2.google.com/service/update2/crx
2015-02-25 19:35 - 2015-03-02 14:05 - 00000000 ____D () C:\Program Files (x86)\ExTRaShoipper
2015-02-25 19:35 - 2015-03-01 16:00 - 00000000 ____D () C:\Program Files (x86)\LLuCCkkyCouPOn
2015-02-25 19:34 - 2015-02-25 19:34 - 00000000 ____D () C:\Program Files (x86)\ExtraShOpper
2015-02-12 12:01 - 2015-02-28 21:44 - 00000000 ____D () C:\Program Files (x86)\ExtraaSohoppaer
2015-02-12 12:01 - 2015-02-12 12:01 - 00000000 ____D () C:\Program Files (x86)\Wheretoget
2015-02-12 12:01 - 2015-02-12 12:01 - 00000000 ____D () C:\Program Files (x86)\TiccTuaCouPPon
2015-03-02 14:05 - 2014-10-27 15:26 - 00000000 ____D () C:\Program Files (x86)\SupTab
2015-03-02 14:01 - 2015-01-14 23:07 - 00000000 ____D () C:\Users\Все пользователи\QuEenCoupon
2015-03-02 14:01 - 2015-01-14 23:07 - 00000000 ____D () C:\ProgramData\QuEenCoupon
2015-03-02 14:01 - 2014-12-11 09:54 - 00000000 ____D () C:\Users\Все пользователи\RoyAlCoUUponi
2015-03-02 14:01 - 2014-12-11 09:54 - 00000000 ____D () C:\ProgramData\RoyAlCoUUponi
2015-03-01 16:30 - 2014-11-04 12:38 - 00000000 ____D () C:\Program Files (x86)\Optimizer Pro
2015-02-28 21:56 - 2014-09-01 12:18 - 00000365 _____ () C:\Users\Misha\AppData\Roaming\EZPHRMQ
2015-02-28 21:48 - 2015-01-05 15:07 - 00000000 ____D () C:\Users\Все пользователи\PricceDoiwnloaDer
2015-02-28 21:48 - 2015-01-05 15:07 - 00000000 ____D () C:\ProgramData\PricceDoiwnloaDer
2015-02-28 21:48 - 2015-01-05 15:06 - 00000000 ____D () C:\Users\Все пользователи\dOwnloadditkeep
2015-02-28 21:48 - 2015-01-05 15:06 - 00000000 ____D () C:\ProgramData\dOwnloadditkeep
2015-02-28 21:48 - 2014-12-22 18:40 - 00000000 ____D () C:\Users\Все пользователи\SShopperoMastaer
2015-02-28 21:48 - 2014-12-22 18:40 - 00000000 ____D () C:\ProgramData\SShopperoMastaer
2015-02-28 21:48 - 2014-11-27 23:16 - 00000000 ____D () C:\Users\Все пользователи\realdeal
2015-02-28 21:48 - 2014-11-27 23:16 - 00000000 ____D () C:\ProgramData\realdeal
2015-02-28 21:43 - 2014-11-26 13:09 - 00000000 ____D () C:\Program Files (x86)\Brass Search
2015-02-28 17:41 - 2014-11-04 12:44 - 00000000 ____D () C:\Users\Misha\Documents\Optimizer Pro
2015-02-28 17:40 - 2015-01-06 14:04 - 00000000 ____D () C:\Users\Все пользователи\pboahhncpcjjgnognmapojkhkalfceab
2015-02-28 17:40 - 2015-01-06 14:04 - 00000000 ____D () C:\ProgramData\pboahhncpcjjgnognmapojkhkalfceab
2015-02-28 17:40 - 2014-12-24 14:56 - 00000000 ____D () C:\Users\Все пользователи\KiengCooupon
2015-02-28 17:40 - 2014-12-24 14:56 - 00000000 ____D () C:\ProgramData\KiengCooupon
2015-02-28 17:40 - 2014-11-04 13:19 - 00000000 ____D () C:\Users\Все пользователи\fc1c0a431a4cbfbf
2015-02-28 17:40 - 2014-11-04 13:19 - 00000000 ____D () C:\ProgramData\fc1c0a431a4cbfbf
2015-02-28 07:45 - 2014-10-30 19:01 - 00000464 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-02-28 07:45 - 2014-10-30 19:01 - 00000464 __RSH () C:\ProgramData\ntuser.pol
2015-02-10 19:39 - 2014-11-12 10:18 - 00000000 ____D () C:\Users\Все пользователи\374311380
2015-02-10 19:39 - 2014-11-12 10:18 - 00000000 ____D () C:\ProgramData\374311380
Task: {A2A0901B-7CD1-42D3-A482-BF560636B3CE} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {E53CE152-AB3B-4D5A-8013-DE5785B23C3E} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe <==== ATTENTION
Task: {F5B4862B-59AA-4661-8F85-A050EC245609} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {FBA78074-C953-4564-9019-8EEA16038485} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Reboot:
Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect