Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте!

Прошу помощи. Одна надежда на вас; ни одна утилита с оффициального сайта Касперского не подходит..

Зашифровались все важные для меня файлы на всех трёх винчестерах компьютера(2.5 терабайта), а именно фото, видео, картинки, видео и прочее..

 

На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)

А все файлы зашифровались в белиберду с расширением.xtbl,

например вот: rfWw3-qCPp9sWKr9aa4ILQS3uyuXN75kcQ3O-LOxiwREmqXeHx8PsUr3a9GY1ELh.xtbl

 

В многочисленных текстовиках созданных вирусом пишется вот это:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
82C551F386DC56F5EF49|0
на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
82C551F386DC56F5EF49|0
to e-mail address deshifrovka01@gmail.com or deshifrovka@india.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

 

 

В дополнение к вложениям вот ссылка на файлообменник Я.диск ; выложил туда несколько зашифрованных файлов, тхт созданные вирусом, скрин рабочего стола, лог Др.Вэб и архив CollectionLog-2015.01.18-18.41.zip, + вообще всё что имеется по моей проблеме.

Если что-то ещё надо, только скажите.

Очень жду вашей помощи.

Заранее огромное спасибо.

post-33383-0-23251100-1421584546_thumb.jpg

CollectionLog-2015.01.18-18.41.zip

Опубликовано

Где продолжите лечение - здесь или на Вирусинфо?

  • Согласен 1
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('C:\Users\1F43~1\AppData\Local\Temp\start.exe','');
 QuarantineFile('C:\Windows\syswow64\avtoreg.bat','');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\newSI_832602\s_inst.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\newSI_4396\s_inst.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\newSI_1799\s_inst.exe','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\newSI_1799\s_inst.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\newSI_4396\s_inst.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\newSI_832602\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_832602.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_4396.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_1799.job','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdate','32');
 DeleteFile('C:\Windows\system32\Tasks\WdfHG','32');
 DeleteFile('C:\Users\1F43~1\AppData\Local\Temp\start.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\data13.dat','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\ssleas.exe','32');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);     
 DeleteFileMask('C:\Users\Дима\AppData\Roaming\newSI_1799', '*', true, ' ');
 DeleteDirectory('C:\Users\Дима\AppData\Roaming\newSI_1799');
 DeleteFileMask('C:\Users\Дима\AppData\Roaming\newSI_4396', '*', true, ' ');
 DeleteDirectory('C:\Users\Дима\AppData\Roaming\newSI_4396');
 DeleteFileMask('C:\Users\Дима\AppData\Roaming\newSI_1799', '*', true, ' ');
 DeleteDirectory('C:\Users\Дима\AppData\Roaming\newSI_1799');
 DeleteFileMask('C:\Users\Дима\AppData\Roaming\x13', '*', true, ' ');
 DeleteDirectory('C:\Users\Дима\AppData\Roaming\x13');
 DeleteFileMask('C:\Users\Дима\AppData\Roaming\x11', '*', true, ' ');
 DeleteDirectory('C:\Users\Дима\AppData\Roaming\x11');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 



O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs:  


 

 

Сделайте новые логи Автологгером. 

 

  • Согласен 1
Опубликовано

Спасибо за скорую помощь!

Сделал всё до пункта  "" Полученный ответ сообщите здесь (с указанием номера KLAN)""

Пока жду ответа от Департамента Касперского, поясните пожалуйста что значит "номер KLAN"?

 

И как именно: ""

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs:  
"""
Т. е. запустить HiJackThis на больном компе и по инструкции пофиксить те 2 параметра которые Вы указали? с ответом который жду от лаборатории Касперского, HiJackThis не связан? Т.е. могу прямо сейчас запустить на больном компе и пофиксить? Или дождаться ответа и потом уже всё остальное?
Приношу извинения за дотошность, но я неподготовленный для меня всё это не сразу понятно.

Пока писал вопрос Вам, пришел ответ от Лаборатории Касперского: KLAN-2437504553

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

csrss.exe - Trojan-Ransom.Win32.Agent.iej

Детектирование файла будет добавлено в следующее обновление.
С уважением, Лаборатория Касперского
"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

 

Что мне делать дальше?

Опубликовано
Сделайте новые логи Автологгером. 
  • Согласен 1
Опубликовано
Нашел и пофиксил как вы и писали строчки в HiJackThis
 
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs:  
 
А вот с автологгером, проблемка; пишет после запуска что сбой обновления баз, проверить подключение к инету , возможно файрвол блокирует доступ к инету и т.п., варианта 2  прервать и повторить. Прервать окно закрывается, повторить, он бесконечно достает это же окно...
как запустить в таком случае автологгер?

Вот через зажатый шифт, удалось таки запустить логгер, файл прилагаю.

что мне делать дальше?

CollectionLog-2015.01.19-21.08.zip

Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files\askpartnernetwork\toolbar\updater\tbnotifier.exe');
 TerminateProcessByName('c:\program files\askpartnernetwork\toolbar\apnmcp.exe');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8sc9b8RUnyOX2Gtijy3qqB5Q-SfZ9VqG-bGF3kljy6o=.xtbl','');
 QuarantineFile('c:\program files\askpartnernetwork\toolbar\updater\tbnotifier.exe','');
 QuarantineFile('c:\program files\askpartnernetwork\toolbar\apnmcp.exe','');
 DeleteFile('c:\program files\askpartnernetwork\toolbar\apnmcp.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8sc9b8RUnyOX2Gtijy3qqB5Q-SfZ9VqG-bGF3kljy6o=.xtbl','32');
 DeleteFile('C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ApnTBMon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 3).
 
что осталось в папке?

C:\ProgramData\Windows
  • Согласен 1
Опубликовано

в папке C:\ProgramData\Windows нет ничего, пусто.

 

Выполнил первый скрипт, комп перезагрузился, выполнил после перезагрузки второй скрипт, он написал что всё корректно прошло, НО ни в папке AVZ, ни на рабочем столе файл  Quarantine.zip не появился...! Второй скрипт точно для Для создания архива с карантином?

Что мне делать?

Опубликовано

 

 


Сделайте новые логи по правилам (только пункт 3).
  • Согласен 1
Опубликовано

Что от меня требуется дальше? Есть ли возможность восстановления зашифрованных файлов?

Опубликовано

 

 


Что от меня требуется дальше?
Ждите ответа. Хелперы помогают пользователям в свободное от работы, учебы, семьи время, поэтому возможны задержки в ответах...
  • Согласен 1
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • progig
      Автор progig
      Доброго времени суток 30.07 все ПК сети введенные  в домен одновременно перезагрузились. Виндовс больше не запустился, все остановилось на "восстановлении системы". Система не восстанавливалась, у некоторых ПК диски вовсе упали в RAW. Поверх был установлен виндовс, но старые файлы пользователей так и не открылись( у всех файлов(кроме .txt, которые открываются) одна и та же дата/время изменения файла с минутной разницей). Файл FRST сделан из под командной строки "восстановления системы". Файл Addition не формируется. Записки о выкупе не обнаружено.
      Прикрепляю файл FRST и зашифрованные файлы. FRST.rarзашифрованные файлы.rar
    • astraoren
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
×
×
  • Создать...