Printable View
На черном фоне красными буквами написано: "Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
E07511B52609E4CFE122|0
на электронный адрес [EMAIL="[email protected]"][email protected][/EMAIL] или [EMAIL="[email protected]"][email protected][/EMAIL] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."
Все файлы стали с длинным непонятным названием с расширением ".XTBL"
Уважаемый(ая) [B]domenicktoretto[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[QUOTE]Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
[/QUOTE]
Базы обновите. Сделайте новые логи
Вроде все сделал
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/B92LqRQ.png[/img]
Скажите пожалуйста, можно надеяться на расшифровку?
[QUOTE]Скажите пожалуйста, можно надеяться на расшифровку?[/QUOTE]
Странно, у вас точно у зашифрованных файлов расширение .xtbl? Я просто характерных папок и файлов для этого шифратора не вижу по логам, а они обычно есть. Прикрепите этот файл КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
HKLM\...\Run: [ZaxarLoader] => C:\Program Files\Zaxar\ZaxarLoader.exe [206072 2015-02-16] ()
Startup: C:\Users\Женичка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt ()
OPR Extension: (Everysale.Net) - C:\Users\Женичка\AppData\Roaming\Opera Software\Opera Stable\Extensions\iapdadaeaebaoigieglfababneoaifnf [2015-02-16]
OPR Extension: (Neiron Search Tools) - C:\Users\Женичка\AppData\Roaming\Opera Software\Opera Stable\Extensions\oehahoblpagnioelpmminjmlpnabnmok [2015-02-16]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Женичка\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2015-02-16]
2015-02-16 16:24 - 2015-02-16 16:24 - 00000040 _____ () C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-02-16 16:24 - 2015-02-16 16:24 - 00000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-02-16 16:24 - 2015-02-16 16:24 - 00000000 ____D () C:\Users\Женичка\AppData\Local\cache
2015-02-16 16:22 - 2015-02-16 18:51 - 00000000 ____D () C:\Users\Женичка\AppData\Roaming\phoenixguard
2015-02-16 16:22 - 2015-02-16 18:51 - 00000000 ____D () C:\Users\Женичка\AppData\Roaming\Neiron
2015-02-16 16:22 - 2015-02-16 18:51 - 00000000 ____D () C:\Users\Женичка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
2015-02-16 16:22 - 2015-02-16 18:51 - 00000000 ____D () C:\Users\Женичка\AppData\Roaming\everysale3
2015-02-16 16:22 - 2015-02-16 18:51 - 00000000 ____D () C:\Program Files\Zaxar
2015-02-16 16:16 - 2015-02-16 16:16 - 00005055 _____ () C:\Users\Все пользователи\mtbjfghn.xbe
2015-02-16 16:16 - 2015-02-16 16:16 - 00005055 _____ () C:\ProgramData\mtbjfghn.xbe
File: C:\Users\Женичка\AppData\Local\Temp\253nA408M8CNYXm.exe
C:\Users\Женичка\AppData\Local\Temp\253nA408M8CNYXm.exe
Folder: C:\FRST\Quarantine
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Файл "КАК РАСШИФРОВАТЬ ФАЙЛЫ" я скинул, а "fixlog.txt" при загрузке пишет, что размер превышает разрешенный для добавления на форум. Пример зашифрованных файлов "+Ef521nDIMCRABuECpHfja+-ZgAgRCPk92wtbE1Hro0=.xtbl" И кстати я переустанавливал систему, может из-за этого непонятки с логами?
[QUOTE]а "fixlog.txt" при загрузке пишет, что размер превышает разрешенный для добавления на форум.[/QUOTE]
Упакуйте в архив.
[QUOTE]И кстати я переустанавливал систему, может из-за этого непонятки с логами?[/QUOTE]
А ну теперь понятно почему. Интересно где умудрились поймать еще один шифровальщик :)
Готово
Логи в порядке. С расшифровкой помочь не сможем.