Шифровальщик. Все фото и текст. Формат .XTBL

25 февраля, 2015

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
D4DF7D2917D23C24E663|0
на электронный адрес decoder1112@gmail.com илиdeshifrovka@india.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

CollectionLog-2015.02.25-21.36.zip

26 февраля, 2015

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! Деинсталлируйте:

Aff Packages
Mobogenie
Search App by Ask
Word Proser 1.10.0.4

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\wordproser_1.10.0.4\service\wpsvc.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 SetServiceStart('wpnfd_1_10_0_4', 4);
 SetServiceStart('wpsvc_1.10.0.4', 4);
 StopService('wpnfd_1_10_0_4');
 StopService('wpsvc_1.10.0.4');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\Линка\AppData\Roaming\F65188C2\bin.exe','');
 QuarantineFile('C:\Users\Линка\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\WINDOWS\system32\drivers\wpnfd_1_10_0_4.sys','');
 QuarantineFile('c:\program files (x86)\wordproser_1.10.0.4\service\wpsvc.exe','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('C:\Program Files (x86)\WordProser_1.10.0.4\Service\wpsvc.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\wpnfd_1_10_0_4.sys','32');
 DeleteFile('C:\Users\Линка\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Users\Линка\AppData\Roaming\F65188C2\bin.exe','32');
 DeleteFile('C:\iexplore.bat','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','F65188C2');
 DeleteService('wpnfd_1_10_0_4');
 DeleteService('wpsvc_1.10.0.4');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=517f77280b16491ccb1bb358b56d4c21&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=517f77280b16491ccb1bb358b56d4c21&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=517f77280b16491ccb1bb358b56d4c21&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=517f77280b16491ccb1bb358b56d4c21&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи Автологгером.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

В следующем вашем ответе мне требуются следующие отчеты:

1. CollectionLog-yyyy.mm.dd-hh.mm.zip

2. ClearLNK-<Дата>.log

3. AdwCleaner[R0].txt

15 марта, 2015

Прошу прощения, что так долго. Не мог добраться до больного компьютера.

CollectionLog-2015.03.15-21.02.zip

AdwCleanerR1.txt

ClearLNK-15.03.2015_20-47.log

15 марта, 2015

В AdwCleaner удалите все, кроме записей с упоминанием mail.ru

Шифровальщик. Все фото и текст. Формат .XTBL

Рекомендуемые сообщения

BondBill

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

BondBill

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum