Перейти к содержимому


Фотография
- - - - -

зашифровались файлы в расширение .xtbl

xtbl

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

  • Закрытая тема Тема закрыта
Сообщений в теме: 18

#1 OFF   oborotov

oborotov

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 07 Февраль 2015 - 15:20

Сегодня с утра все фотографии и картинки зашифровались. изменилось название файлов и расширение. провел проверку с помощью утилиты avz. Возможно ли вернуть исходное состояние файлам!? логи прикрепляю

Прикрепленные файлы


  • 0

#2 OFF   mike 1

mike 1

    Ем мышек

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 8 947

Отправлено 07 Февраль 2015 - 15:30

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! Деинсталлируйте:
 
BitGuard
DefaultTab
Delta Chrome Toolbar
Delta toolbar
PC Speed Up
Амиго
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('c:\Users\All Users\dtdata\R001.exe','');
 QuarantineFile('c:\Users\All Users\dtdata\R002.exe','');
 QuarantineFile('C:\Windows\system32\FlashPlayerUpdateService.exe','');
 QuarantineFile('C:\Users\Бабушкины Истории\AppData\Roaming\ACEStream\engine\ace_engine.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Users\Бабушкины Истории\AppData\Roaming\ACEStream\engine\ace_engine.exe','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\Tasks\DriverDoc_UPDATES.job','32');
 DeleteFile('C:\Windows\Tasks\PC SpeedUp Service Deactivator.job','32');
 DeleteFile('C:\Windows\system32\FlashPlayerUpdateService.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayerUpdate','32');
 DeleteFile('C:\Windows\system32\Tasks\AdobeFlashPlayerUpdate 2','32');
 DeleteFile('C:\Windows\system32\Tasks\DefaultCheck','32');
 DeleteFile('c:\Users\All Users\dtdata\R002.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\DefaultReg','32');
 DeleteFile('c:\Users\All Users\dtdata\R001.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
 DeleteFile('C:\Windows\system32\Tasks\DriverDocRunAtStartup','32');
 DeleteFile('C:\Windows\system32\Tasks\DriverDoc_UPDATES','32');
 DeleteFile('C:\Windows\system32\Tasks\PC SpeedUp Service Deactivator','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceStream','command');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
O2 - BHO: DefaultTabBHO - {7F6AFBF1-E065-4627-A2FD-810366367D01} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.10.0\bh\delta.dll
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll
O3 - Toolbar: Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.10.0\deltaTlbr.dll
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
 
В следующем вашем ответе мне требуются следующие отчеты:
 
1. CollectionLog-yyyy.mm.dd-hh.mm.zip
 
2. AdwCleaner[R0].txt

  • 0

Если Вы поймали шифровальщика через электронную почту, то не спешите удалять письмо из почты. Копию письма Вы можете отправить мне на почту с заголовком "Вредоносное письмо".

Обучение методикам удаления вирусов Ждете помощи? Выполните Правила оказания помощи . Бесплатная лицензия на 45 дней => https://goo.gl/3BfqlS
Как подготовить лог HiJackThis, Как подготовить логи RSIT, Как подготовить лог UVS, Как подготовить лог AdwCleaner, Как подготовить лог GMER, Как подготовить лог MiniToolBox, FAQ по MBAM, Как выполнить скрипт в OTM by OldTimer Combofix CheckBrowserLnk
Защита от неизвестных троянцев-шифровальщиков => http://virusinfo.inf...ad.php?t=201769 , обсуждение программы  http://safezone.cc/t...y-vitokhv.27638

(в подписи ссылки на инструкции как сделать тот или иной лог). 


#3 OFF   oborotov

oborotov

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 07 Февраль 2015 - 21:18

Я все сделал.

Вот ответ с лаборатории Касперского:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинетаhttps://my.kaspersky...upport/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

ace_engine.exe,
R002.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

csrss.exe - Backdoor.Win32.Androm.gfno

Детектирование файла будет добавлено в следующее обновление.

R001.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Прикрепленные файлы


  • 0

#4 OFF   mike 1

mike 1

    Ем мышек

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 8 947

Отправлено 07 Февраль 2015 - 21:21

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

  • 0

Если Вы поймали шифровальщика через электронную почту, то не спешите удалять письмо из почты. Копию письма Вы можете отправить мне на почту с заголовком "Вредоносное письмо".

Обучение методикам удаления вирусов Ждете помощи? Выполните Правила оказания помощи . Бесплатная лицензия на 45 дней => https://goo.gl/3BfqlS
Как подготовить лог HiJackThis, Как подготовить логи RSIT, Как подготовить лог UVS, Как подготовить лог AdwCleaner, Как подготовить лог GMER, Как подготовить лог MiniToolBox, FAQ по MBAM, Как выполнить скрипт в OTM by OldTimer Combofix CheckBrowserLnk
Защита от неизвестных троянцев-шифровальщиков => http://virusinfo.inf...ad.php?t=201769 , обсуждение программы  http://safezone.cc/t...y-vitokhv.27638

(в подписи ссылки на инструкции как сделать тот или иной лог). 


#5 OFF   oborotov

oborotov

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 07 Февраль 2015 - 21:44

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

готово!

Прикрепленные файлы


  • 0

#6 OFF   mike 1

mike 1

    Ем мышек

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 8 947

Отправлено 08 Февраль 2015 - 00:53

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
B92LqRQ.png
 
 
В следующем вашем ответе мне требуются следующие отчеты:
 
1. FRST.txt, Addition.txt

  • 0

Если Вы поймали шифровальщика через электронную почту, то не спешите удалять письмо из почты. Копию письма Вы можете отправить мне на почту с заголовком "Вредоносное письмо".

Обучение методикам удаления вирусов Ждете помощи? Выполните Правила оказания помощи . Бесплатная лицензия на 45 дней => https://goo.gl/3BfqlS
Как подготовить лог HiJackThis, Как подготовить логи RSIT, Как подготовить лог UVS, Как подготовить лог AdwCleaner, Как подготовить лог GMER, Как подготовить лог MiniToolBox, FAQ по MBAM, Как выполнить скрипт в OTM by OldTimer Combofix CheckBrowserLnk
Защита от неизвестных троянцев-шифровальщиков => http://virusinfo.inf...ad.php?t=201769 , обсуждение программы  http://safezone.cc/t...y-vitokhv.27638

(в подписи ссылки на инструкции как сделать тот или иной лог). 


#7 OFF   oborotov

oborotov

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 08 Февраль 2015 - 10:17

сделано!

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   34,3К   скачиваний 210
  • Прикрепленный файл  FRST.txt   40,69К   скачиваний 116

  • 0

#8 OFF   mike 1

mike 1

    Ем мышек

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 8 947

Отправлено 08 Февраль 2015 - 10:31

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  • CreateRestorePoint:
    
    ShortcutTarget: _uninst_83054332.lnk -> C:\Users\Бабушкины Истории\AppData\Local\Temp\_uninst_83054332.bat (No File)
    
    SearchScopes: HKU\S-1-5-21-94405848-3652229717-625839074-1000 -> {3B2DC7FB-20FE-409A-9E8A-4B8537295C68} URL = http://www.mysearchresults.com/search?c=8004&t=11&q={searchTerms}
    
    FF Extension: ExSmile v13.8.23 - C:\Users\Бабушкины Истории\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\itapp@world-come.info [2013-08-23]
    
    CHR Extension: (BlackFriday: купоны, скидки, промо-коды) - C:\Users\Бабушкины Истории\AppData\Local\Google\Chrome\User Data\Default\Extensions\gjfhcaepjoeemgkfihjhjdilnoahpcae [2014-02-06]
    CHR Extension: (No Name) - C:\Users\Бабушкины Истории\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcncjpganfocbfoenaemagjjopkkindp [2014-07-10]
    
    CHR Extension: (ExSmile v13.8.23) - C:\Users\Бабушкины Истории\AppData\Roaming\smwdgt [2013-08-23]
    Folder: C:\Users\Все пользователи\Windows
    Folder: C:\ProgramData\Windows
    
    2015-02-06 19:39 - 2015-02-07 16:18 - 00000000 __SHD () C:\Users\Все пользователи\Windows
    2015-02-06 19:39 - 2015-02-07 16:18 - 00000000 __SHD () C:\ProgramData\Windows
    2013-08-23 23:15 - 2013-08-23 23:15 - 0000006 _____ () C:\Users\Бабушкины Истории\AppData\Roaming\smw_inst
    
    Task: {5AF42722-2DB5-49E3-8C1F-602A5E75DD98} - \DriverDocRunAtStartup No Task File <==== ATTENTION
    
    Task: {26A74913-90AE-4974-8E4C-47D9CEA24879} - No Task path
    Task: {C961F62B-AB0A-439C-B617-15C420EA6AC4} - No Task path
    
    Task: {EDC93625-706F-4B29-97C5-7B79B5AD7201} - \AdobeFlashPlayerUpdate No Task File <==== ATTENTION
    Task: {FEADB1C5-6846-4DEA-9D30-420310B0B90A} - No Task path
    
    AlternateDataStreams: C:\Users\Бабушкины Истории\Local Settings:wa
    AlternateDataStreams: C:\Users\Бабушкины Истории\AppData\Local:wa
    AlternateDataStreams: C:\Users\Бабушкины Истории\AppData\Local\Application Data:wa
    
    
    
    
    
    
    
    
    
    
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

    • 0

    Если Вы поймали шифровальщика через электронную почту, то не спешите удалять письмо из почты. Копию письма Вы можете отправить мне на почту с заголовком "Вредоносное письмо".

    Обучение методикам удаления вирусов Ждете помощи? Выполните Правила оказания помощи . Бесплатная лицензия на 45 дней => https://goo.gl/3BfqlS
    Как подготовить лог HiJackThis, Как подготовить логи RSIT, Как подготовить лог UVS, Как подготовить лог AdwCleaner, Как подготовить лог GMER, Как подготовить лог MiniToolBox, FAQ по MBAM, Как выполнить скрипт в OTM by OldTimer Combofix CheckBrowserLnk
    Защита от неизвестных троянцев-шифровальщиков => http://virusinfo.inf...ad.php?t=201769 , обсуждение программы  http://safezone.cc/t...y-vitokhv.27638

    (в подписи ссылки на инструкции как сделать тот или иной лог). 


    #9 OFF   oborotov

    oborotov

      Новичок

    • Новички
    • Cообщений: 8

    Отправлено 08 Февраль 2015 - 10:43

    Готово

    Прикрепленные файлы

    • Прикрепленный файл  Fixlog.txt   6,42К   скачиваний 120

    • 0

    #10 OFF   oborotov

    oborotov

      Новичок

    • Новички
    • Cообщений: 8

    Отправлено 08 Февраль 2015 - 13:05

    Есть некоторые наблюдения, по дате изменения файлов все началось 6.02.2015 с 19:50. В этот день на компьютер было скачано всего 14 файлов - это картинки в период с 19:00 - 19:50 и причем есть одна единственная картинка которая не заблокировалась. И зашифровались файлы только в одной папке в которую и сохранялись картинки.


    • 0

    #11 OFF   mike 1

    mike 1

      Ем мышек

    • Консультанты
    • Старожилы
    • PipPipPipPipPipPipPipPipPipPipPip
    • Cообщений: 8 947

    Отправлено 08 Февраль 2015 - 16:53

    Тут удаленно зашли через Backdoor. Backdoor можно получить двумя путями себе на компьютер, первый - через софт, который был скачан и установлен из сомнительных источников, второй - через эксплойт. Во втором случае достаточно перейти по ссылке или посетить инфицированный сайт. 


    • 0

    Если Вы поймали шифровальщика через электронную почту, то не спешите удалять письмо из почты. Копию письма Вы можете отправить мне на почту с заголовком "Вредоносное письмо".

    Обучение методикам удаления вирусов Ждете помощи? Выполните Правила оказания помощи . Бесплатная лицензия на 45 дней => https://goo.gl/3BfqlS
    Как подготовить лог HiJackThis, Как подготовить логи RSIT, Как подготовить лог UVS, Как подготовить лог AdwCleaner, Как подготовить лог GMER, Как подготовить лог MiniToolBox, FAQ по MBAM, Как выполнить скрипт в OTM by OldTimer Combofix CheckBrowserLnk
    Защита от неизвестных троянцев-шифровальщиков => http://virusinfo.inf...ad.php?t=201769 , обсуждение программы  http://safezone.cc/t...y-vitokhv.27638

    (в подписи ссылки на инструкции как сделать тот или иной лог). 


    #12 OFF   oborotov

    oborotov

      Новичок

    • Новички
    • Cообщений: 8

    Отправлено 08 Февраль 2015 - 17:20

    Тут удаленно зашли через Backdoor. Backdoor можно получить двумя путями себе на компьютер, первый - через софт, который был скачан и установлен из сомнительных источников, второй - через эксплойт. Во втором случае достаточно перейти по ссылке или посетить инфицированный с

    Ну так а можно как-нибудь восстановить зашифрованные файлы? и я не совсем понял что удаленно?:))


    • 0

    #13 OFF   mike 1

    mike 1

      Ем мышек

    • Консультанты
    • Старожилы
    • PipPipPipPipPipPipPipPipPipPipPip
    • Cообщений: 8 947

    Отправлено 08 Февраль 2015 - 17:25

    С расшифровкой не поможем. Тут RSA шифрование. 

     

     

     

    и я не совсем понял что удаленно?

    Скорее всего удаленно запустили шифратор. 


    • 0

    Если Вы поймали шифровальщика через электронную почту, то не спешите удалять письмо из почты. Копию письма Вы можете отправить мне на почту с заголовком "Вредоносное письмо".

    Обучение методикам удаления вирусов Ждете помощи? Выполните Правила оказания помощи . Бесплатная лицензия на 45 дней => https://goo.gl/3BfqlS
    Как подготовить лог HiJackThis, Как подготовить логи RSIT, Как подготовить лог UVS, Как подготовить лог AdwCleaner, Как подготовить лог GMER, Как подготовить лог MiniToolBox, FAQ по MBAM, Как выполнить скрипт в OTM by OldTimer Combofix CheckBrowserLnk
    Защита от неизвестных троянцев-шифровальщиков => http://virusinfo.inf...ad.php?t=201769 , обсуждение программы  http://safezone.cc/t...y-vitokhv.27638

    (в подписи ссылки на инструкции как сделать тот или иной лог). 


    #14 OFF   oborotov

    oborotov

      Новичок

    • Новички
    • Cообщений: 8

    Отправлено 08 Февраль 2015 - 17:30

    Жаль, спасибо за помощь! подскажите а вообще есть смысл к кому то обращаться или это в принципе не возможно?


    • 0

    #15 OFF   mike 1

    mike 1

      Ем мышек

    • Консультанты
    • Старожилы
    • PipPipPipPipPipPipPipPipPipPipPip
    • Cообщений: 8 947

    Отправлено 08 Февраль 2015 - 18:28

    Если использовалось RSA шифрование большого порядка (скажем около 1024 бит), то шансов думаю нет. 


    • 0

    Если Вы поймали шифровальщика через электронную почту, то не спешите удалять письмо из почты. Копию письма Вы можете отправить мне на почту с заголовком "Вредоносное письмо".

    Обучение методикам удаления вирусов Ждете помощи? Выполните Правила оказания помощи . Бесплатная лицензия на 45 дней => https://goo.gl/3BfqlS
    Как подготовить лог HiJackThis, Как подготовить логи RSIT, Как подготовить лог UVS, Как подготовить лог AdwCleaner, Как подготовить лог GMER, Как подготовить лог MiniToolBox, FAQ по MBAM, Как выполнить скрипт в OTM by OldTimer Combofix CheckBrowserLnk
    Защита от неизвестных троянцев-шифровальщиков => http://virusinfo.inf...ad.php?t=201769 , обсуждение программы  http://safezone.cc/t...y-vitokhv.27638

    (в подписи ссылки на инструкции как сделать тот или иной лог). 






    Темы с аналогичными тегами: xtbl

    Количество пользователей, читающих эту тему: 0

    0 пользователей, 0 гостей, 0 анонимных