Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Все важные файлы на всех дисках вашего компьютера были зашифрованы

dem77789
 Поделиться

Рекомендуемые сообщения

dem77789

dem77789

Опубликовано
Опубликовано

Добрый вечер. Сегодня днём, объявилась такая проблема на рабочем столе появилась надпись красными буквами на черном экране: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbtl и появилась 10 файлом readme в котором написано:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
17CD0BB751815826C592|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
17CD0BB751815826C592|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 

CollectionLog-2015.04.14-20.16.zip

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\wln32\wln32.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\3F37A9A9\bin.exe','');
 TerminateProcessByName('c:\users\Дима\appdata\roaming\x11\engine.exe');
 QuarantineFile('c:\users\Дима\appdata\roaming\x11\engine.exe','');
 TerminateProcessByName('c:\users\Дима\appdata\roaming\cppredistx86.exe');
 QuarantineFile('c:\users\Дима\appdata\roaming\cppredistx86.exe','');
 DeleteFile('c:\users\Дима\appdata\roaming\cppredistx86.exe','32');
 DeleteFile('c:\users\Дима\appdata\roaming\x11\engine.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\3F37A9A9\bin.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3F37A9A9');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
 DeleteFile('C:\wln32\wln32.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','win32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Сделайте новые логи Автологгером. 
 
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 

 

dem77789

dem77789

Опубликовано
  • Автор
Опубликовано

мне пришло вот такое письмо:

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2682023530]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  

bin.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xik
engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

mike 1

mike 1

Опубликовано
Опубликовано

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-07-20]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-07-20]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgeakjmfknncppbmgkkfbglnodccdecp [2014-07-20]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\blbkdnmdcafmfhinpmnlhhddbepgkeaa [2014-12-08]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-07-20]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-07-20]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj [2014-12-08]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\hakdifolhalapjijoafobooafbilfakh [2014-12-08]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\hghkgaeecgjhjkannahfamoehjmkjail [2014-12-08]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\jagncdcchgajhfhijbbhecadmaiegcmh [2014-12-08]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdpbajmogfhlafbipjjklkdhloplicgc [2014-08-19]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\jeaohhlajejodfjadcponpnjgkiikocn [2014-07-24]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-13]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\mofegfedamndhcgbkpdjiohddkjgbnhd [2014-07-20]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkcpopggjcjkiicpenikeogioednjeac [2014-12-02]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-07-20]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-07-20]
CHR Extension: (No Name) - C:\Users\Дима\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman [2014-12-08]
2015-04-14 16:59 - 2015-04-14 16:59 - 03148854 _____ () C:\Users\Дима\AppData\Roaming\7877A35F7877A35F.bmp
2015-04-12 23:14 - 2015-04-14 22:59 - 00000000 ___HD () C:\Users\Дима\AppData\Roaming\3F37A9A9
2015-04-12 22:47 - 2015-04-14 17:17 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-04-12 22:47 - 2015-04-14 17:17 - 00000000 __SHD () C:\ProgramData\Windows
2015-04-12 22:42 - 2015-04-12 22:43 - 00000000 ____D () C:\Users\Дима\AppData\Roaming\x11
2015-04-02 15:02 - 2015-04-02 15:02 - 00442896 _____ () C:\Users\Дима\AppData\Roaming\data13.dat
Folder: C:\wln32
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

 

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
 

 

  • Согласен 1
mike 1

mike 1

Опубликовано
Опубликовано

Обновите:

 

Kaspersky Internet Security v.14.0.0.4651 - обновите до версии 15.0.2.361
--------------------------- [ OtherUtilities ] ----------------------------
CCleaner v.4.15
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 67 v.7.0.670 Внимание! Скачать обновления
Java Auto Updater v.2.1.67.1
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 16 ActiveX v.16.0.0.305 Внимание! Скачать обновления
Adobe Reader XI (11.0.10) - Russian v.11.0.10
------------------------------- [ Browser ] -------------------------------
Yandex v.38.0.2125.10034 Внимание! Скачать обновления
 
 
 
Логи в порядке. С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188
 
  • Согласен 1
dem77789

dem77789

Опубликовано
  • Автор
Опубликовано

Получается вируса больше нет и последующие документы не зашифруются?

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Вирус удален. Данные шифроваться больше не будут. 

Изменено пользователем mike 1
  • Согласен 1
dem77789

dem77789

Опубликовано
  • Автор
Опубликовано

У меня последний вопрос, у меня есть виртуальная  машина, на ней Windows 7, туда мог попасть вирус? когда вирус появился я её не запускал.

dem77789

dem77789

Опубликовано
  • Автор
Опубликовано

скажи как удалить файл с длинным именем, вирус создал.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...