Шифровальщик. Все фото и текст. Формат .XTBL

25 февраля, 2015

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
D4DF7D2917D23C24E663|0
на электронный адрес decoder1112@gmail.com илиdeshifrovka@india.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

CollectionLog-2015.02.25-21.36.zip

26 февраля, 2015

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! Деинсталлируйте:

Aff Packages
Mobogenie
Search App by Ask
Word Proser 1.10.0.4

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\wordproser_1.10.0.4\service\wpsvc.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 SetServiceStart('wpnfd_1_10_0_4', 4);
 SetServiceStart('wpsvc_1.10.0.4', 4);
 StopService('wpnfd_1_10_0_4');
 StopService('wpsvc_1.10.0.4');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\Линка\AppData\Roaming\F65188C2\bin.exe','');
 QuarantineFile('C:\Users\Линка\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\WINDOWS\system32\drivers\wpnfd_1_10_0_4.sys','');
 QuarantineFile('c:\program files (x86)\wordproser_1.10.0.4\service\wpsvc.exe','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('C:\Program Files (x86)\WordProser_1.10.0.4\Service\wpsvc.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\wpnfd_1_10_0_4.sys','32');
 DeleteFile('C:\Users\Линка\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Users\Линка\AppData\Roaming\F65188C2\bin.exe','32');
 DeleteFile('C:\iexplore.bat','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','F65188C2');
 DeleteService('wpnfd_1_10_0_4');
 DeleteService('wpsvc_1.10.0.4');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=517f77280b16491ccb1bb358b56d4c21&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=517f77280b16491ccb1bb358b56d4c21&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=517f77280b16491ccb1bb358b56d4c21&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=517f77280b16491ccb1bb358b56d4c21&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи Автологгером.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

В следующем вашем ответе мне требуются следующие отчеты:

1. CollectionLog-yyyy.mm.dd-hh.mm.zip

2. ClearLNK-<Дата>.log

3. AdwCleaner[R0].txt

15 марта, 2015

Прошу прощения, что так долго. Не мог добраться до больного компьютера.

CollectionLog-2015.03.15-21.02.zip

AdwCleanerR1.txt

ClearLNK-15.03.2015_20-47.log

15 марта, 2015

В AdwCleaner удалите все, кроме записей с упоминанием mail.ru

Шифровальщик. Все фото и текст. Формат .XTBL

Рекомендуемые сообщения

BondBill

mike 1

BondBill

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum