Перейти к содержанию
Сезон прогнозов — 2020!

Зашифрованы все файлы

Danil^_^
 Share Подписчики 0

Рекомендуемые сообщения

Danil^_^

Danil^_^ 0

Опубликовано
Опубликовано

Компьютер был заражен вирусом шифровальщиком, зараженные (зашифрованные) файлы имеют расширение "XTBL" (.xtbl)., Прошу помощи в расшифровки данных файлов.


 


CollectionLog-2015.02.28-22.30.zip

Ссылка на сообщение
Поделиться на другие сайты
Danil^_^

Danil^_^ 0

Опубликовано
  • Автор
Опубликовано
Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

B952EF657DBD7B96AEA1|0

на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

 

  вылезает ошибка сборщика логов

CollectionLog-2015.03.04-00.02.zip

post-33753-0-42867300-1425330637_thumb.png

Ссылка на сообщение
Поделиться на другие сайты
миднайт

миднайт 21

Опубликовано
Опубликовано (изменено)

В AVZ выполните скрипт:
 

begin
ClearQuarantine;
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\svchost.com','');
 QuarantineFile('C:\Users\Даня\AppData\Local\PriceMeter\pricemeterw.exe','');
 QuarantineFile('C:\Users\Даня\AppData\Local\PriceMeter\TEMP\pricemeter.exe','');
 QuarantineFile('C:\Users\Даня\AppData\Local\PriceMeter\pricemeterd.exe','');
 QuarantineFile('C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe','');
 QuarantineFile('D:\Steam\steam.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('C:\ProgramData\IePluginS','');
 QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
 QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
 DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
 DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
 DeleteFile('C:\ProgramData\IePluginS','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe','32');
 DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job','64');
 DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job','64');
 DeleteFile('C:\Users\Даня\AppData\Local\PriceMeter\pricemeterd.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\pricemeterdownloader','64');
 DeleteFile('C:\Windows\system32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA','64');
 DeleteFile('C:\Users\Даня\AppData\Local\PriceMeter\TEMP\pricemeter.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\pricemetertask','64');
 DeleteFile('C:\Users\Даня\AppData\Local\PriceMeter\pricemeterw.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\pricemeterwatcher','64');
 DeleteFile('C:\Windows\svchost.com','32');
 DeleteFile('C:\Windows\system32\Tasks\{F13D2A49-D2AF-40EB-A3E2-378E4E273DD9}','64');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт в AVZ:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хелпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Удалите ярлык firefox, снова его создайте.

Просканируйте систему на предмет файловых вирусов, вариант с LiveCD предпочтительнее http://virusinfo.info/showthread.php?t=15927

Повторите логи.

Изменено пользователем миднайт
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • romaevst
      crypt0000000777777
      От romaevst
      Здравствуйте...прошу помощи,после случайного открытия письма на майле зашифровались все файлы..Очень много важный файлов.
      CollectionLog-2017.11.02-18.50.zip
    • netkrol
      Зашифрованы все файлы, расширение "NO_MORE_RANSOM" и "TYSON"
      От netkrol
      Здравствуйте!

       

      Помогите, пожалуйста, расшифровать файлы.

       

      5 декабря поймал вирус-шифровальщик. Все файлы зашифрованы с расширением "NO_MORE_RANSOM", кроме файлов .djvu - они зашифрованы с расширением "TYSON". 

       

      На диске D появились 10 файлов readme, в первом из которых написано:

       

      Ваши фaйлы были зашифpoвaны.
      Чmoбы рacшифpoвaть иx, Вам необxoдимо отпpавuть kод:
      C7581932F40E0CCCFA18|713|6|70
      нa элekmронный адpec 2Lynness.Taftfera1990@gmail.com .
      Дaлеe вы получите все необхoдимыe инстрyкциu.
      Пoпыmки pаcшuфрoвaть самoстоятeльнo нe прuведyт ни к чeму, kроме безвозвpaтнoй пomеpu инфopмацuu.
      Если вы всё жe xоmumе noпыmaться, тo nрeдвapиmeльнo cделaйте peзepвные kоnuu фaйлов, uначe в слyчаe
      ux uзмeненuя расшuфровka cтанеm невoзможнoй нu nри kaкиx уcловияx.
      Ecли вы нe nолучили omвema nо вышеуkaзaннoмy aдреcy в тeчение 48 чacов (u mольko в эmом случaе!),
      вocnoльзуйmeсь формой обpаmнoй связu. Это можно cдeлamь двyмя спocобaмu:
      1) Cкaчaйmе и уcтaнoвuтe Tor Browser пo сcылke: https://www.torproject.org/download/download-easy.html.en
      B адpeснoй cтрокe Tor Browser-a ввeдuте aдpeс:
      http://cryptsen7fo43rr6.onion/
      и нaжмиmе Enter. 3arpyзuтся cmpaницa c фoрмой обpaтнoй связu.
      2) В любом браузерe пeрейдumе no oднoмy uз адреcов:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      C7581932F40E0CCCFA18|713|6|70
      to e-mail address 2Lynness.Taftfera1990@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      If you still want to try to decrypt them by yourself please make a backup at first because
      the decryption will become impossible in case of any changes inside the files.
      If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
      use the feedback form. You can do it by two ways:
      1) Download Tor Browser from here:
      https://www.torproject.org/download/download-easy.html.en
      Install it and type the following address into the address bar:
      http://cryptsen7fo43rr6.onion/
      Press Enter and then the page with feedback form will be loaded.
      2) Go to the one of the following addresses in any browser:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/
       

      Проверил компьютер на вирусы с помощью DrWeb, найденные вирусы были удалены.

       

      Далее действовал по вашей инструкции https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

       

      Провел проверку ПК с помощью 

      Kaspersky Virus Removal Tool 2015;
      Собрал логи, во вложении файл CollectionLog-2017.01.29-16.14.zip

       

      Также есть несколько файлов до заражения и после. Если они будут полезны, то могу прикрепить их в следующем письме.

       

      Можно ли как-то вылечить зараженные файлы?

       

      Спасибо.

       

       

      CollectionLog-2017.01.29-16.14.zip
×
×
  • Создать...