Почти все файлы зашифрованы файлы в формате .XTBL

[ilyas1]

Dсе файлы зашифровались в белиберду с расширением.xtbl

Например: IbP-aWFDVSZQR4uyP12e57gGI6IIrM69xhtngQdsfZk=

 

В текстовиках созданных вирусом на диске D пишется вот это:

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

BA4DEDAD52A1B5B4505B|0

на электронный адрес decoder1112@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

BA4DEDAD52A1B5B4505B|0

to e-mail address decoder1112@gmail.com or deshifrovka@india.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

Прикрепил файлы Addition и FRST, которую выдал программа Farbar Recovery Scan Tool.

 

 

Addition.txt

FRST.txt

[thyrex]

Выполните правила

[ilyas1]

А что я не так сделал?

[Mark D. Pearlstone]

@ilyas1, прочтите внимательно правила и поймёте. Логи не те.

[ilyas1]

Вот прикрепил логи

UP, пожалуйста помогите мне

CollectionLog-2015.03.03-19.05.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\storegidfilter.sys','');
QuarantineFile('C:\Windows\cuda.exe','');
QuarantineFile('C:\Windows\cpu.exe','');
QuarantineFile('C:\Users\Ислам\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe','');
DelBHO('{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478}');
DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}');
QuarantineFile('C:\Users\Ислам\AppData\Roaming\glister\nvm.dll','');
QuarantineFile('C:\Users\Ислам\AppData\Roaming\eTranslator\eTranslator.exe','');
QuarantineFile('C:\Users\Ислам\AppData\Local\storegid\storegidup.exe','');
QuarantineFile('C:\Users\Ислам\AppData\Local\Temp\utt4751.tmp.exe','');
QuarantineFile('C:\Users\Ислам\AppData\Local\Kometa\kometaup.exe','');
QuarantineFile('C:\Users\Ислам\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Users\Ислам Биналиев\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\Ислам Биналиев\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Ислам Биналиев\AppData\Roaming\B20EC984\bin.exe','');
QuarantineFile('C:\Users\Ислам Биналиев\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
QuarantineFile('C:\ProgramData\Program status\scheck.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
DeleteFile('C:\Program Files (x86)\Babylon\Babylon-Pro\Babylon.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RedSurf','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EADM','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Omiga Plus','command');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
DeleteFile('C:\ProgramData\Program status\scheck.exe','32');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sCloudStatusCheck','command');
DeleteFile('C:\Users\Ислам Биналиев\AppData\Local\Amigo\Application\amigo.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
DeleteFile('C:\Users\Ислам Биналиев\AppData\Local\Amigo\Application\vk.exe','32');
DeleteFile('C:\Users\Ислам Биналиев\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Ислам Биналиев\AppData\Roaming\B20EC984\bin.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','B20EC984');
DeleteFile('C:\Users\Ислам Биналиев\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Ислам Биналиев\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Users\Ислам\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\Ислам\AppData\Local\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_7A59FCB06FD13593137ABCEEC1796A9C','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
DeleteFile('C:\Users\Ислам\AppData\Local\Temp\utt4751.tmp.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent','command');
DeleteFile('C:\Users\Ислам\AppData\Local\storegid\storegidup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegidUpdater','command');
DeleteFile('C:\Users\Ислам\AppData\Roaming\eTranslator\eTranslator.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command');
DeleteFile('C:\Users\Ислам\AppData\Roaming\glister\nvm.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\reg_svr','command');
DeleteFile('C:\Program Files (x86)\Ticno\Tabs\TicnoTabsBho120618.dll','32');
DeleteFile('res:\C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm','32');
DeleteFile('C:\Users\583C~1\AppData\Local\Temp\11634289FdOh','32');
DeleteFile('C:\Users\583C~1\AppData\Local\Temp\4410101FdOh','32');
DeleteFile('C:\Windows\Tasks\At2.job','64');
DeleteFile('C:\Windows\Tasks\At1.job','64');
DeleteFile('C:\Windows\Tasks\At3.job','64');
DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job','64');
DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job','64');
DeleteFile('C:\Windows\Tasks\SpeedUpMyPC.job','64');
DeleteFile('C:\Program Files (x86)\Uniblue\SpeedUpMyPC\sump.exe','32');
DeleteFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe','32');
DeleteFile('C:\Users\583C~1\AppData\Local\Temp\15142330aq','32');
DeleteFile('C:\Program Files (x86)\Uniblue\SpeedUpMyPC\spmonitor.exe','32');
DeleteFile('C:\Windows\Tasks\spmonitor.job','64');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
DeleteFile('C:\Windows\system32\Tasks\At2','64');
DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
DeleteFile('C:\Users\Ислам\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
DeleteFile('C:\Program Files (x86)\Omiga Plus\omigaplus.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Windows\system32\Tasks\Omiga Plus RunAsStdUser','64');
DeleteFile('C:\Windows\system32\Tasks\SaveSenseLiveUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\SaveSenseLiveUpdateTaskMachineUA','64');
DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC','64');
DeleteFile('C:\Windows\system32\Tasks\spmonitor','64');
DeleteFile('C:\Windows\cpu.exe','32');
DeleteFile('C:\Windows\cuda.exe','32');
DeleteFile('C:\Windows\storegidfilter.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  
• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
   
  
   
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Сделайте новые логи по правилам

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.