Перейти к содержанию

Зашифрованные файлы .xtbl формата


Рекомендуемые сообщения

Добрый вечер, такая ситуация:
 

 

    Ваши файлы были зашифрованы.
    Чтобы расшифровать их, Вам необходимо отправить код:
    0273374CB15C7D34CB92|0
    на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .
    Далее вы получите все необходимые инструкции.  
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


    All the important files on your computer were encrypted.
    To decrypt the files you should send the following code:
    0273374CB15C7D34CB92|0
    to e-mail address deshifrator01@gmail.com or deshifrovka@india.com .
    Then you will receive all necessary instructions.
    All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Логи:
CollectionLog-2015.02.11-23.04.zip

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! Деинсталлируйте:
 
FlvPlayer
QuickStores-Toolbar 1.1.0
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 SetServiceStart('{515b2035-50d0-4637-9844-474cbc071f0a}t', 4);
 SetServiceStart('{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t', 4);
 StopService('{515b2035-50d0-4637-9844-474cbc071f0a}t');
 StopService('{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t');
 QuarantineFile('C:\Program Files\Google\chrome.bat','');
 QuarantineFile('C:\IEXPLORE.bat','');
 QuarantineFile('C:\windows\system32\drivers\ccnfd_1_10_0_4.sys','');
 QuarantineFile('C:\windows\system32\drivers\{f9db60fb-a85d-4a71-beb8-295c3a5b3a44}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{515b2035-50d0-4637-9844-474cbc071f0a}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t.sys','');
 DeleteFile('C:\windows\system32\drivers\{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{515b2035-50d0-4637-9844-474cbc071f0a}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{f9db60fb-a85d-4a71-beb8-295c3a5b3a44}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\ccnfd_1_10_0_4.sys','32');
 DeleteFile('C:\IEXPLORE.bat','32');
 DeleteFile('C:\Program Files\Google\chrome.bat','32');
 DeleteFile('C:\windows\Tasks\62546d33-5890-4971-bd9a-74b224d86d9f-11.job','32');
 DeleteFile('C:\windows\Tasks\ShopperPro.job','32');
 DeleteFile('C:\windows\Tasks\ShopperProJSUpd.job','32');
 DeleteService('ccnfd_1_10_0_4');
 DeleteService('{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t');
 DeleteService('{515b2035-50d0-4637-9844-474cbc071f0a}t');
 DeleteService('servervo');
 DeleteService('Rerun service for Torrent Search');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd5c1a0ae505bb7ce7efc04f26234f98&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd5c1a0ae505bb7ce7efc04f26234f98&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: ShopperProBHO - {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
 
 
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
 
В следующем вашем ответе мне требуются следующие отчеты:
 
1. CollectionLog-yyyy.mm.dd-hh.mm.zip
 
2. ClearLNK-<Дата>.log
 
3. AdwCleaner[R0].txt
Ссылка на комментарий
Поделиться на другие сайты

удалите всё найденное в AdwCleaner


http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160


новый лог приложите.
 
вручную удалите:
2015-02-02 16:32:24 ----H---- C:\Program Files\puntо.bаt.exe
2015-02-02 16:32:23 ----H---- C:\Program Files\punto.bat
2015-02-02 16:30:38 ----H---- C:\оpеrа.bаt.exe
2015-02-02 16:30:38 ----H---- C:\opera.bat
новый лог автологгера приложите
Ссылка на комментарий
Поделиться на другие сайты

Ссылка на комментарий
Поделиться на другие сайты


  •  


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [mffaiffbfnpaalibenmemffgmppndafp] - C:\Documents and Settings\Admin\Application Data\Crx\Files\mffaiffbfnpaalibenmemffgmppndafp_0.2.4.crx [2014-07-05]
OPR Extension: (Универсальный перевод для Chrome) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\fjnbnpbmkenffdnngjfgmeleoegfcffe [2015-02-02]
OPR Extension: (No Name) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\fneleoohaagcejefkfmanhhdoboipapk [2015-02-03]
OPR Extension: (No Name) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\iphpmnjjkbneokidkdkcdfhlhlimhnfj [2015-02-02]
2015-02-07 18:05 - 2015-02-11 02:24 - 00000000 __SHD () C:\Documents and Settings\All Users\Application Data\Windows
2015-02-04 20:04 - 2015-02-11 21:58 - 00000000 _____ () C:\Documents and Settings\Admin\Application Data\smw_inst
2015-02-02 16:37 - 2015-02-05 19:22 - 00000008 __RSH () C:\Documents and Settings\All Users\ntuser.pol
2015-02-02 16:35 - 2014-07-22 14:00 - 00876328 ____H (Yandex LLC) C:\Documents and Settings\Admin\Local Settings\Application Data\ВrоwsеrМаnаgеr.bаt.exe
2015-02-02 16:34 - 2015-02-02 16:34 - 00000167 ____H () C:\Documents and Settings\Admin\Local Settings\Application Data\BrowserManager.bat
2015-02-02 15:49 - 2015-02-02 15:49 - 00000000 ____D () C:\Documents and Settings\Admin\Local Settings\Application Data\Поиcк в Интeрнете
2015-02-02 15:46 - 2015-02-02 15:49 - 00000211 _____ () C:\Documents and Settings\Admin\Рабочий стол\Искать в Интернете.url
2010-05-10 11:40 - 2010-05-10 11:40 - 0200704 _____ (JetSwap) C:\Program Files\Common Files\safesurf.exe
C:\Documents and Settings\Admin\Local Settings\Temp\eTkkzllnOX9F.exe
C:\Documents and Settings\Admin\Local Settings\Temp\fo-e621.exe
C:\Documents and Settings\Admin\Local Settings\Temp\FtV2oIcNRkoR.exe
C:\Documents and Settings\Admin\Local Settings\Temp\H0SCqJg8A1qs.exe
C:\Documents and Settings\Admin\Local Settings\Temp\Hu7rcwsT4yH2.exe
C:\Documents and Settings\Admin\Local Settings\Temp\ifufErQeafPb.exe
C:\Documents and Settings\Admin\Local Settings\Temp\iYe39fWIWBK6.exe
C:\Documents and Settings\Admin\Local Settings\Temp\kx74se0hBI9H.exe
C:\Documents and Settings\Admin\Local Settings\Temp\KZSQeBO8lBFr.exe
C:\Documents and Settings\Admin\Local Settings\Temp\lobr11jTQlmH.exe
C:\Documents and Settings\Admin\Local Settings\Temp\onnuVQF21cbp.exe
C:\Documents and Settings\Admin\Local Settings\Temp\OpvUqIyMAe13.exe
C:\Documents and Settings\Admin\Local Settings\Temp\QoqPTNCW9Ea3.exe
C:\Documents and Settings\Admin\Local Settings\Temp\rsIEa0dRD89q.exe
C:\Documents and Settings\Admin\Local Settings\Temp\setup.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tM7SFIDGuDoL.exe
C:\Documents and Settings\Admin\Local Settings\Temp\Uik94kiGixqV.exe
C:\Documents and Settings\Admin\Local Settings\Temp\uMnQGjb9iZbj.exe
C:\Documents and Settings\Admin\Local Settings\Temp\vNTuvQRJ1SV6.exe
C:\Documents and Settings\Admin\Local Settings\Temp\vVVQYQYl1Lcn.exe
C:\Documents and Settings\Admin\Local Settings\Temp\WC0E4ndbZnpF.exe
C:\Documents and Settings\Admin\Local Settings\Temp\XTBevQmVzIjb.exe
C:\Documents and Settings\Admin\Local Settings\Temp\Z0Ovr2D3aZId.exe
C:\Documents and Settings\Admin\Local Settings\Temp\zt0t6XxquNjs.exe
AlternateDataStreams: C:\Documents and Settings\Admin\Local Settings:init
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:07BF512B
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:1CE11B51
Reboot:



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...