Все файлы перешли в формат xtbl

[ms_gor]

добрый день, проник вирус зашифровал все файлы переделал формат в xtbl. присутствует текстовый документ 

вот содержание:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

B8389E900AA636BB2AC1|0

на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

B8389E900AA636BB2AC1|0

to e-mail address deshifrator01@gmail.com or deshifrovka@india.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

вот логи

CollectionLog-2015.02.16-13.15.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! Деинсталлируйте:

 

Currency calc
mystartsearch uninstall
SmartWeb
WinZipper

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('i:\documents and settings\admin\application data\vopackage\vosrv.exe');
 TerminateProcessByName('i:\program files\advplugin\basement\extensionupdaterservice.exe');
 TerminateProcessByName('i:\program files\advplugin\backgroundsingleton.exe');
 SetServiceStart('{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}t', 4);
 SetServiceStart('{bcd08fc8-cb56-41a3-8b19-3c556687a504}t', 4);
 SetServiceStart('{6cfec6a5-9d93-4492-985a-470a68eff4e9}t', 4);
 SetServiceStart('{663d99d0-f31d-457e-980b-dc5daf227786}t', 4);
 SetServiceStart('{0e195523-6785-4f9c-bb2f-0a791b0c99d0}t', 4);
 SetServiceStart('Update Service for advPlugin', 4);
 SetServiceStart('servervo', 4);
 StopService('{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}t');
 StopService('{bcd08fc8-cb56-41a3-8b19-3c556687a504}t');
 StopService('{6cfec6a5-9d93-4492-985a-470a68eff4e9}t');
 StopService('{663d99d0-f31d-457e-980b-dc5daf227786}t');
 StopService('{0e195523-6785-4f9c-bb2f-0a791b0c99d0}t');
 StopService('Update Service for advPlugin');
 StopService('servervo');
 QuarantineFile('I:\Program Files\advPlugin\Toolbar32.dll','');
 QuarantineFile('I:\Program Files\suptab\loader64.exe','');
 QuarantineFile('I:\Program Files\suptab\loader32.exe','');
 QuarantineFile('I:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\browser.bat','');
 QuarantineFile('I:\windows\system32\drivers\{e5e8bd85-21de-4190-b364-33beb625e47f}t.sys','');
 QuarantineFile('I:\windows\system32\drivers\{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}t.sys','');
 QuarantineFile('I:\windows\system32\drivers\{bcd08fc8-cb56-41a3-8b19-3c556687a504}t.sys','');
 QuarantineFile('I:\windows\system32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}t.sys','');
 QuarantineFile('I:\windows\system32\drivers\{663d99d0-f31d-457e-980b-dc5daf227786}t.sys','');
 QuarantineFile('I:\windows\system32\drivers\{0e195523-6785-4f9c-bb2f-0a791b0c99d0}t.sys','');
 QuarantineFile('i:\documents and settings\admin\application data\vopackage\vosrv.exe','');
 QuarantineFile('i:\program files\advplugin\basement\extensionupdaterservice.exe','');
 QuarantineFile('i:\program files\advplugin\backgroundsingleton.exe','');
 QuarantineFile('i:\windows\system32\nwprovau.dll','');
 DeleteFile('i:\program files\advplugin\backgroundsingleton.exe','32');
 DeleteFile('i:\program files\advplugin\basement\extensionupdaterservice.exe','32');
 DeleteFile('i:\documents and settings\admin\application data\vopackage\vosrv.exe','32');
 DeleteFile('I:\windows\system32\drivers\{0e195523-6785-4f9c-bb2f-0a791b0c99d0}t.sys','32');
 DeleteFile('I:\windows\system32\drivers\{663d99d0-f31d-457e-980b-dc5daf227786}t.sys','32');
 DeleteFile('I:\windows\system32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}t.sys','32');
 DeleteFile('I:\windows\system32\drivers\{bcd08fc8-cb56-41a3-8b19-3c556687a504}t.sys','32');
 DeleteFile('I:\windows\system32\drivers\{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}t.sys','32');
 DeleteFile('I:\windows\system32\drivers\{e5e8bd85-21de-4190-b364-33beb625e47f}t.sys','32');
 DeleteFile('I:\windows\system32\drivers\{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t.sys','32');
 DeleteFile('I:\windows\system32\drivers\{94538859-34de-4cd4-9dc6-aa29e98ff214}t.sys','32');
 DeleteFile('I:\windows\system32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt.sys','32');
 DeleteFile('I:\windows\system32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t.sys','32');
 DeleteFile('I:\windows\system32\drivers\{c89879cb-75b8-4cb6-bc13-07c704396fd0}t.sys','32');
 DeleteFile('I:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет 2inf.net.lnk','32');
 DeleteFile('I:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk','32');
 DeleteFile('I:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\browser.bat','32');
 DeleteFile('I:\windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('I:\windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('I:\windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('I:\Program Files\suptab\loader32.exe','32');
 DeleteFile('I:\Program Files\suptab\loader64.exe','32');
 DeleteFile('I:\Program Files\advPlugin\Toolbar32.dll','32');
 DeleteService('{c89879cb-75b8-4cb6-bc13-07c704396fd0}t');
 DeleteService('{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t');
 DeleteService('{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt');
 DeleteService('{94538859-34de-4cd4-9dc6-aa29e98ff214}t');
 DeleteService('{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t');
 DeleteService('{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}t');
 DeleteService('{bcd08fc8-cb56-41a3-8b19-3c556687a504}t');
 DeleteService('{6cfec6a5-9d93-4492-985a-470a68eff4e9}t');
 DeleteService('{663d99d0-f31d-457e-980b-dc5daf227786}t');
 DeleteService('{0e195523-6785-4f9c-bb2f-0a791b0c99d0}t');
 DeleteService('Update Service for advPlugin');
 DeleteService('servervo');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419689576&from=wpm12233&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1419689576&from=wpm12233&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1419689576&from=wpm12233&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419689576&from=wpm12233&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1414079934&from=sky&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1414079934&from=sky&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419689576&from=wpm12233&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи Автологгером. 

 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

 

В следующем вашем ответе мне требуются следующие отчеты:

 

1. CollectionLog-yyyy.mm.dd-hh.mm.zip

 

2. ClearLNK-<Дата>.log

 

3. AdwCleaner[R0].txt

[ms_gor]

Отчеты по запросу!

CollectionLog-2015.02.17-12.17.zip

AdwCleanerR0.txt

ClearLNK-17.02.2015_12-04.log

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[ms_gor]

Отчет удаления

 

AdwCleanerR1.txt

AdwCleanerS1.txt

AdwCleanerS0.txt

AdwCleanerR0.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  

• Нажмите кнопку Scan.
  

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[ms_gor]

отчет

FRST.txt

Addition.txt

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1957994488-1645522239-1417001333-500\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
AutoConfigURL: [HKLM] => http://finalac.com/55kNY/k5bJw82.roc
AutoConfigURL: [S-1-5-21-1957994488-1645522239-1417001333-1004] => http://finalac.com/55kNY/k5bJw82.roc
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HomePage: Default -> hxxp://www.delta-homes.com/?type=hp&ts=1419689576&from=wpm12233&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967
CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=643_pr__alt__ddc_dsssyc_bd_com"
CHR StartupUrls: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=643_pr__alt__ddc_dsssyc_bd_com"
CHR Extension: (Домашняя страница Mail.Ru) - I:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2014-12-07]
CHR Extension: (Стартовая — Яндекс) - I:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi [2014-11-11]
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path
CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path
CHR HKLM\...\Chrome\Extension: [ifpjamfehjeobjanpappgckkmnhjnpgi] - I:\Documents and Settings\Admin\Application Data\Crx\Files\ifpjamfehjeobjanpappgckkmnhjnpgi_0.1.3.5.crx [2014-07-17]
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path
CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - No Path
OPR Extension: (Переводчик для Chrome 2) - I:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\djflhoibgkdhkhhcedjiklpkjnoahfmg [2014-10-16]
2015-02-05 00:19 - 2015-02-06 22:30 - 00000000 __SHD () I:\Documents and Settings\All Users\Application Data\Windows
Folder: I:\windows\AppUpdate
2015-02-11 15:09 - 2014-09-02 23:17 - 00000904 __RSH () I:\Documents and Settings\All Users\ntuser.pol
2014-11-08 22:59 - 2015-02-04 21:56 - 0000092 _____ () I:\Documents and Settings\Admin\Application Data\WB.CFG
2014-09-02 22:59 - 2014-09-02 22:59 - 0000157 ____H () I:\Documents and Settings\Admin\Local Settings\Application Data\amigo.bat
2014-10-06 21:29 - 2014-10-06 21:28 - 0612080 _____ (ClickMeIn Limited) I:\Documents and Settings\Admin\Local Settings\Application Data\nsd177.tmp
2014-10-09 23:17 - 2014-10-09 23:17 - 0612067 _____ (CMI Limited) I:\Documents and Settings\Admin\Local Settings\Application Data\nsj35.tmp
2014-09-02 23:48 - 2014-09-02 23:48 - 0575544 _____ (ClickMeIn Limited) I:\Documents and Settings\Admin\Local Settings\Application Data\nsn2E1.tmp
2014-09-03 00:15 - 2014-09-03 00:15 - 0631728 _____ (ClickMeIn Limited) I:\Documents and Settings\Admin\Local Settings\Application Data\nsn35E.tmp
2014-09-08 20:07 - 2014-09-08 20:07 - 0617277 _____ (ClickMeIn Limited) I:\Documents and Settings\Admin\Local Settings\Application Data\nsoD0.tmp
2014-09-02 22:59 - 2014-09-02 22:59 - 0000154 ____H () I:\Documents and Settings\Admin\Local Settings\Application Data\ok.bat
2014-09-02 22:59 - 2014-09-02 22:59 - 0000154 ____H () I:\Documents and Settings\Admin\Local Settings\Application Data\vk.bat
I:\Documents and Settings\Admin\removeSAddons.bat
Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

Смените все пароли.

 

Сделайте новые логи Farbar.

[ms_gor]

отчет

Fixlog.txt

[mike 1]

Сделайте новые логи Farbar.

 

 

+ Проверьте эти файлы на virustotal

I:\windows\AppUpdate\waitfor.exe
I:\windows\AppUpdate\wget.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Изменено 18 февраля, 2015 пользователем mike 1

[ms_gor]

I:\windows\AppUpdate\waitfor.exe

https://www.virustotal.com/ru/file/c3370e8ec5ca54e8fd7eac19c278689cf122edac91faa4376dc24b1d807fe510/analysis/1424261362/

 

I:\windows\AppUpdate\wget.exe

https://www.virustotal.com/ru/file/248e84e994a3aa6c8a1ae4a71a701e862900cc8491243bd4497502cc3b2c74f7/analysis/1424261440/

 

как сделать логи Farbar???

[thyrex]

Еще раз запустите FRST

[ms_gor]

логи

FRST.txt

[solnisko7]

Такая же ситуация тольrо не просили ничего отсылать. Вышла ошибка про проводник в результате все файлы в формате xtbl. Подскажите как быть?

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
2014-10-16 20:02 - 2014-10-16 20:02 - 0000001 _____ () I:\Documents and Settings\Admin\Application Data\smw_inst
Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

Такая же ситуация тольrо не просили ничего отсылать. Вышла ошибка про проводник в результате все файлы в формате xtbl. Подскажите как быть?

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.