Почти все файлы на машине переименованы, с расширением xtbl. На рабочем столе на черном фоне красная надпись "Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно

[Ольга Шалагина]

Почти все файлы на машине переименованы, с расширением xtbl. На рабочем столе на черном фоне красная надпись "Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков. Прошу помочь расшифровать файлы.

[Info_bot]

Уважаемый(ая) Ольга Шалагина, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Сделайте логи по правилам.

[Ольга Шалагина]

сделала

[Vvvyg]

От AVZ нужен файл virusinfo_syscheck.zip из папки LOG.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.

[Ольга Шалагина]

сделала

[Vvvyg]

Протокол антивирусной утилиты AVZ версии 4.39
Сканирование запущено в 14.02.2013 14:09:44

Свежий лог с обновлёнными базами будет?

- - - - -Добавлено - - - - -

Удалите следующие программы:

Currency calc
DigiHelp
Extended Update
Kometa
MiPony 2.0.2
SocialAdverts for Google Chrome™
VK Downloader
Zaxar Games Browser
Амиго
Панель «Запуск Кометы»

[Ольга Шалагина]

надеюсь на этот раз у меня получилось

- - - - -Добавлено - - - - -

удалила, утилиту avz заново перезапустить?

[Vvvyg]

Точки восстановления системы есть:

10-03-2015 19:25:21 Центр обновления Windows
12-03-2015 23:56:40 Центр обновления Windows
17-03-2015 13:31:15 Центр обновления Windows

Так что единственный шанс вернуть данные - восстановить зашифрованные файлы средствами Windows. Это только те, что были зашифрованы после 10-го марта, по логам видно, что шифровальщик работал и в декабре прошлого года. Выводов, видимо, с тех пор так и не сделали

После того, как вытащите свои данные, подчистим adware.

[Ольга Шалагина]

Не поняла, по ссылке если на зашифрованный файл пр.мыш. св-ва, у меня пишет что нет предыдущих версий, мне надо что-то сначала сделать?

[Vvvyg]

Не на зашифрованный файл, а на папку с ними.

[Ольга Шалагина]

ну что-то восстанавливается, может и получится, конечно далеко не все, а что потом "подчистим adware". Для этого что делаем?

[Vvvyg]

Для этого выполним скрипт в Farbar Recovery Scan Tool, не волнуйтесь, срочности нет, пока восстанавливайте исходные файлы, я просто не хочу пока что-то лечить дальше, т. к. есть вероятность, что точки восстановления будут потеряны, а с ними - и файлы в теневых копиях.
Как закончите - сообщите, продолжим.

[Ольга Шалагина]

Короче говоря, фотки не восстановить, давайте чистим adware

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Kbupdater Utility.lnk
ShortcutTarget: Kbupdater Utility.lnk -> C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe (No File)
Startup: C:\Users\Shal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\appdistrib.lnk
ShortcutTarget: appdistrib.lnk -> C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe (No File)
Startup: C:\Users\Shal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Safebrowser.lnk
ShortcutTarget: Safebrowser.lnk -> C:\Users\Shal\AppData\Local\Microsoft\Extensions\safebrowser.exe ()
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO: VK Downloader -> {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} -> C:\Program Files (x86)\VK Downloader\Toolbar64.dll No File
FF Extension: Currency calc - C:\Users\Shal\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2015-01-11]
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\Shal\AppData\Roaming\Opera Software\Opera Stable\Extensions\baohinapilmkigilbbbcccncoljkdpnd [2015-02-26]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Shal\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-03-01]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\Shal\AppData\Roaming\Opera Software\Opera Stable\Extensions\eignhdfgaldabilaaegmdfbajngjmoke [2015-02-11]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\Shal\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-02-20]
2015-03-01 21:22 - 2015-02-11 21:22 - 00000000 _____ () C:\Users\Shal\AppData\Roaming\smw_inst
Task: {487C844B-1B20-4DB5-A080-887F2F4E8252} - System32\Tasks\appdistrib => C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe
Task: {9FBB3679-0B21-4534-933C-72332DE64799} - System32\Tasks\Kbupdater Utility => C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe
Task: {CD3E45D3-8EF9-48BF-ACE5-1ED0C847E295} - System32\Tasks\extsetup => C:\Users\Shal\AppData\Local\Microsoft\Extensions\extsetup.exe [2015-02-09] ()
Task: {D302F28C-FF9A-4270-9B1F-F64855050D65} - System32\Tasks\Digital Sites => C:\Users\Shal\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {F95E943B-F5A5-4F88-B097-99C475933190} - System32\Tasks\Safebrowser => C:\Users\Shal\AppData\Local\Microsoft\Extensions\safebrowser.exe [2015-02-09] ()
Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\Shal\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
C:\Users\Shal\AppData\Local\Microsoft\Extensions
2014-12-13 15:48 - 2014-12-13 15:48 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-02-11 21:22 - 2015-03-01 21:22 - 0000000 _____ () C:\Users\Shal\AppData\Roaming\smw_inst
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Ольга Шалагина]

не знаю все ли так, ну что-то сделала

[Vvvyg]

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Ознакомьтесь с этими рекомендациями.