Помогите расшифровать документы

Помогите расшифровать файлы на компьютере друзей. После действия вируса пропали все документы, фото, видео. Нашел их в виде шифрованных типа *.xtbl. До меня компьютер пытались, видимо, лечить разными антивирусами (видел в логах различные их наименования). В логе ESET увидел ссылку на удаленные вирусы Win32/Filecoder.ED Вероятно, это и есть виновник проблемы. Пробовал расшифровать утилитами Касперского, не вышло. Другие ресурсы предлагали сделать это платно, что, в общем то, недоступно. Вспомнил о вашем сайте. Будем благодарны, если что-то получится.
Вот ссылки на файлы, которые были зашифрованы:
[URL]http://myfolder.ru/files/43681136[/URL]
[URL]http://myfolder.ru/files/43681137[/URL]
[URL]http://myfolder.ru/files/43681138[/URL]
[URL]http://myfolder.ru/files/43681140[/URL]

Уважаемый(ая) [B]Alex.Bal[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url]http://virusinfo.info/pravila.html[/url]

Простите, но я не понял, что я сделал не так, обратившись за помощью... Постарался все выполнить по пунктам инструкции. :(

Логи где по правилам?

[QUOTE=thyrex;1274285]Логи где по правилам?[/QUOTE]

Не знаю, по какой причине логи не присоединились, но я их отправлял тоже. Повторяю и ссылки:
[URL]http://myfolder.ru/files/43681136[/URL]
[URL]http://myfolder.ru/files/43681137[/URL]
[URL]http://myfolder.ru/files/43681138[/URL]
[URL]http://myfolder.ru/files/43681140[/URL]

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\6195~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\6195~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\6195~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
DeleteFile('C:\Users\6195~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
DeleteFile('C:\Windows\Tasks\DSite.job','32');
DeleteFile('C:\Users\6195~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
DeleteFile('C:\Windows\system32\Tasks\DSite','32');
DeleteFile('C:\Users\6195~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\Reimage Reminder','32');
DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] над первым сообщением темы.

[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]

[QUOTE=thyrex;1274391]Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\6195~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\6195~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\6195~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
DeleteFile('C:\Users\6195~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
DeleteFile('C:\Windows\Tasks\DSite.job','32');
DeleteFile('C:\Users\6195~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
DeleteFile('C:\Windows\system32\Tasks\DSite','32');
DeleteFile('C:\Users\6195~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\Reimage Reminder','32');
DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR=Red][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] над первым сообщением темы.

[B][COLOR=Blue]Сделайте новые логи по правилам[/COLOR][/B][/QUOTE]

Выполнил все, как требовалось в предыдущем задании. Карантин отправил, но только он после сканирования был пуст. Провел автокарантин и отправил, что получил после выполнения этой команды.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Просканировал, как рекомендовано - FRST 32bit

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
HKU\S-1-5-21-44408203-1102493735-4084568044-1000\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess?
HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll <===== ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKLM - No Name - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - No File
Toolbar: HKU\S-1-5-21-44408203-1102493735-4084568044-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-44408203-1102493735-4084568044-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKU\S-1-5-21-44408203-1102493735-4084568044-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKU\S-1-5-21-44408203-1102493735-4084568044-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-44408203-1102493735-4084568044-1000 -> No Name - {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6} - No File
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\САНЕК\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found]
2015-04-30 12:15 - 2014-12-21 10:24 - 00000000 ____D () C:\Users\САНЕК\AppData\Local\Gameo
Task: {0056D269-0A6C-4764-AA6B-C618F080D514} - \Программа обновления НР-онлайн. No Task File <==== ATTENTION
Task: {03D5EDE8-942C-450F-B88A-FD2FFA08EC3C} - \Digital Sites No Task File <==== ATTENTION
Task: {1E6D7B0E-8801-4D54-830E-E3DEFB0D8137} - \Программа онлайн-обновления InstallShield Software. No Task File <==== ATTENTION
Task: {81AF64BE-2820-4C0A-AC05-C500365CD66D} - \DSite No Task File <==== ATTENTION
Task: {E5290451-32E9-4635-9463-CA821202DD71} - \Reimage Reminder No Task File <==== ATTENTION
Task: {F68E2BAC-DC71-4C5A-8D6D-B655389CEE03} - \DealPly No Task File <==== ATTENTION
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

[QUOTE=thyrex;1275178]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [B]fixlist.txt[/B] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
HKU\S-1-5-21-44408203-1102493735-4084568044-1000\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess?
HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll <===== ATTENTION
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKLM - No Name - {b4efb02b-cd4a-44b9-b5d9-aa486cdffab6} - No File
Toolbar: HKU\S-1-5-21-44408203-1102493735-4084568044-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-44408203-1102493735-4084568044-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKU\S-1-5-21-44408203-1102493735-4084568044-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKU\S-1-5-21-44408203-1102493735-4084568044-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-44408203-1102493735-4084568044-1000 -> No Name - {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6} - No File
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\САНЕК\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found]
2015-04-30 12:15 - 2014-12-21 10:24 - 00000000 ____D () C:\Users\САНЕК\AppData\Local\Gameo
Task: {0056D269-0A6C-4764-AA6B-C618F080D514} - \Программа обновления НР-онлайн. No Task File <==== ATTENTION
Task: {03D5EDE8-942C-450F-B88A-FD2FFA08EC3C} - \Digital Sites No Task File <==== ATTENTION
Task: {1E6D7B0E-8801-4D54-830E-E3DEFB0D8137} - \Программа онлайн-обновления InstallShield Software. No Task File <==== ATTENTION
Task: {81AF64BE-2820-4C0A-AC05-C500365CD66D} - \DSite No Task File <==== ATTENTION
Task: {E5290451-32E9-4635-9463-CA821202DD71} - \Reimage Reminder No Task File <==== ATTENTION
Task: {F68E2BAC-DC71-4C5A-8D6D-B655389CEE03} - \DealPly No Task File <==== ATTENTION
Reboot:
[/code]
[LIST][*]Запустите FRST, нажмите один раз на кнопку [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении! [*]Обратите внимание, что компьютер будет [B]перезагружен[/B]. [/LIST]
[/QUOTE]

Посылаю fixlog.txt после выполнения скрипта

С расшифровкой не поможем

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]30[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]