Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

Прошу помощи. Одна надежда на вас; ни одна утилита с оффициального сайта Касперского не подходит..

Зашифровались все важные для меня файлы на всех трёх винчестерах компьютера(2.5 терабайта), а именно фото, видео, картинки, видео и прочее..

 

На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)

А все файлы зашифровались в белиберду с расширением.xtbl,

например вот: rfWw3-qCPp9sWKr9aa4ILQS3uyuXN75kcQ3O-LOxiwREmqXeHx8PsUr3a9GY1ELh.xtbl

 

В многочисленных текстовиках созданных вирусом пишется вот это:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
82C551F386DC56F5EF49|0
на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
82C551F386DC56F5EF49|0
to e-mail address deshifrovka01@gmail.com or deshifrovka@india.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

 

 

В дополнение к вложениям вот ссылка на файлообменник Я.диск ; выложил туда несколько зашифрованных файлов, тхт созданные вирусом, скрин рабочего стола, лог Др.Вэб и архив CollectionLog-2015.01.18-18.41.zip, + вообще всё что имеется по моей проблеме.

Если что-то ещё надо, только скажите.

Очень жду вашей помощи.

Заранее огромное спасибо.

post-33383-0-23251100-1421584546_thumb.jpg

CollectionLog-2015.01.18-18.41.zip

Ссылка на сообщение
Поделиться на другие сайты
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('C:\Users\1F43~1\AppData\Local\Temp\start.exe','');
 QuarantineFile('C:\Windows\syswow64\avtoreg.bat','');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\newSI_832602\s_inst.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\newSI_4396\s_inst.exe','');
 QuarantineFile('C:\Users\Дима\AppData\Roaming\newSI_1799\s_inst.exe','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\newSI_1799\s_inst.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\newSI_4396\s_inst.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\newSI_832602\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_832602.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_4396.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_1799.job','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdate','32');
 DeleteFile('C:\Windows\system32\Tasks\WdfHG','32');
 DeleteFile('C:\Users\1F43~1\AppData\Local\Temp\start.exe','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\data13.dat','32');
 DeleteFile('C:\Users\Дима\AppData\Roaming\ssleas.exe','32');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);     
 DeleteFileMask('C:\Users\Дима\AppData\Roaming\newSI_1799', '*', true, ' ');
 DeleteDirectory('C:\Users\Дима\AppData\Roaming\newSI_1799');
 DeleteFileMask('C:\Users\Дима\AppData\Roaming\newSI_4396', '*', true, ' ');
 DeleteDirectory('C:\Users\Дима\AppData\Roaming\newSI_4396');
 DeleteFileMask('C:\Users\Дима\AppData\Roaming\newSI_1799', '*', true, ' ');
 DeleteDirectory('C:\Users\Дима\AppData\Roaming\newSI_1799');
 DeleteFileMask('C:\Users\Дима\AppData\Roaming\x13', '*', true, ' ');
 DeleteDirectory('C:\Users\Дима\AppData\Roaming\x13');
 DeleteFileMask('C:\Users\Дима\AppData\Roaming\x11', '*', true, ' ');
 DeleteDirectory('C:\Users\Дима\AppData\Roaming\x11');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 



O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs:  


 

 

Сделайте новые логи Автологгером. 

 

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Спасибо за скорую помощь!

Сделал всё до пункта  "" Полученный ответ сообщите здесь (с указанием номера KLAN)""

Пока жду ответа от Департамента Касперского, поясните пожалуйста что значит "номер KLAN"?

 

И как именно: ""

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs:  
"""
Т. е. запустить HiJackThis на больном компе и по инструкции пофиксить те 2 параметра которые Вы указали? с ответом который жду от лаборатории Касперского, HiJackThis не связан? Т.е. могу прямо сейчас запустить на больном компе и пофиксить? Или дождаться ответа и потом уже всё остальное?
Приношу извинения за дотошность, но я неподготовленный для меня всё это не сразу понятно.

Пока писал вопрос Вам, пришел ответ от Лаборатории Касперского: KLAN-2437504553

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

csrss.exe - Trojan-Ransom.Win32.Agent.iej

Детектирование файла будет добавлено в следующее обновление.
С уважением, Лаборатория Касперского
"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

 

Что мне делать дальше?

Ссылка на сообщение
Поделиться на другие сайты
Нашел и пофиксил как вы и писали строчки в HiJackThis
 
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O20 - AppInit_DLLs:  
 
А вот с автологгером, проблемка; пишет после запуска что сбой обновления баз, проверить подключение к инету , возможно файрвол блокирует доступ к инету и т.п., варианта 2  прервать и повторить. Прервать окно закрывается, повторить, он бесконечно достает это же окно...
как запустить в таком случае автологгер?

Вот через зажатый шифт, удалось таки запустить логгер, файл прилагаю.

что мне делать дальше?

CollectionLog-2015.01.19-21.08.zip

Ссылка на сообщение
Поделиться на другие сайты
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files\askpartnernetwork\toolbar\updater\tbnotifier.exe');
 TerminateProcessByName('c:\program files\askpartnernetwork\toolbar\apnmcp.exe');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8sc9b8RUnyOX2Gtijy3qqB5Q-SfZ9VqG-bGF3kljy6o=.xtbl','');
 QuarantineFile('c:\program files\askpartnernetwork\toolbar\updater\tbnotifier.exe','');
 QuarantineFile('c:\program files\askpartnernetwork\toolbar\apnmcp.exe','');
 DeleteFile('c:\program files\askpartnernetwork\toolbar\apnmcp.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8sc9b8RUnyOX2Gtijy3qqB5Q-SfZ9VqG-bGF3kljy6o=.xtbl','32');
 DeleteFile('C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ApnTBMon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 3).
 
что осталось в папке?

C:\ProgramData\Windows
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

в папке C:\ProgramData\Windows нет ничего, пусто.

 

Выполнил первый скрипт, комп перезагрузился, выполнил после перезагрузки второй скрипт, он написал что всё корректно прошло, НО ни в папке AVZ, ни на рабочем столе файл  Quarantine.zip не появился...! Второй скрипт точно для Для создания архива с карантином?

Что мне делать?

Ссылка на сообщение
Поделиться на другие сайты

Вот пожалуйста, посмотрите приложенный лог AdwCleaner.

Скажите есть надежда на восстановление зашифрованных файлов?

AdwCleanerR0.rar

Ссылка на сообщение
Поделиться на другие сайты

 

 


Что от меня требуется дальше?
Ждите ответа. Хелперы помогают пользователям в свободное от работы, учебы, семьи время, поэтому возможны задержки в ответах...
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От tvvvitos
      Добрый день! Поймал шифровальщик, по видимому Cryakl. Файлы прилагаю. Есть ли шанс расшифровать файлы? 
      encrypted.rar
    • От Smirnov85
      шифровальщик зашифровал файлы, в именах зашифрованных файлов присутствует secure[dealinfrm@cock.li]. Стандартные дешифровальщики от лаборатории Касперского не помогли (RakhniDecryptor, ShadeDecryptor, RannohDecryptor). Лог согласно инструкции прилагаю
      CollectionLog-2021.05.18-15.33.zip
    • От AgentSAB
      Доброго времени суток.
      Пользователь где-то словил шифровальщик LIZARD
      Помогите с дешифровкой.
      Прикрепляю логи, зашифрованные файлы и требование шифровальщика. Сам файл шифровальщика не нашёл.
      Спасибо
      Логи.rar Зашифрованные файлы.rar Требование.rar
    • От asdf33
      Здравствуйте! 7-го или 8-го мая 2021 года, был заражен компьютер с архивами баз 1с, скорее всего по RDP каналу. 10-го мая было обнаружено, что система ушла в BSOD и более не запускается. Провёл проверку жесткого диска на здоровом компьютере, обнаружил HEUR:Trojan-Ransom.Win32.Cryakl.gen Объект: _ms_manpld_upd144.exe. Практически все файлы зашифрованы. Система была тут же установлена начисто. Возможно ли расшифровать хотя бы файлы архивов 1с сохраненные в dt и zip? Прикладываю зашифрованный текстовый файл archiv.zip и шифровальщика _ms_manpld_upd144.zip с указаным паролем. Само собой логи анализа системы и записки с требованием нет (система уже не запускалась).
      archiv.zip
    • От kostia7alania
      Зашифровали все файлы, в каждой папке есть хелп с таким html:
       
      Your files will be leak after 2 days 21:12:21 Decrypt files? Write to this mails: honestandhope@qq.com or . mail honestandhope@qq.com.
      You unique ID [3EBA0CD9-36A432CE] [copy]  
      Написал им на почту honestandhope@qq.com и вот что ответили:
      Я ответил, что у меня нет таких денег. И вот ответ:
      We can make a price of $ 1500 if you pay this week. Many russians using this web service to buy bitcoins https://byware.net/ or https://easybit.pro/ Wallet number: 1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH Аfter payment, send a screenshot of your payment and we will send you the decoder and instructions Ребята из Белоруссии уже откликнулись:
       
       
      В архиве сам шифровальщик и примеры: ссылка удалена
      (!) Осторожно ! Не скачивать на свои настоящие девайсы, ток на виртуалку !
      Письмо с требованием :


      Шифруют в начале, а в конце - добавочная инфа о восстановлении:
      см скрин:
       
      РЕбята, а куда скинуть сам шифровальщик? Сюда незя , оказывается (

      Прикреплю по одному зашифрованные файлы
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы и ссылки на них. samples.rar
×
×
  • Создать...