Перейти к содержанию

Зашифровались файлы, расширение xtbl

Lerm
 Поделиться

Рекомендуемые сообщения

Lerm

Lerm

Опубликовано
Опубликовано

Каким-то образом 2 марта подцепил вирус-шифровальщик, многие файлы зашифровались, кроме файлов Open Officе.

Также стал автоматически закрываться Internet Explorer, выдавая ошибку программы. В каждой папке появился Файл Readme.txt с инструкцией. А еще был удален файл, скорее всего вирус, который висел в диспетчере задач. Логи, пример файла Readme и архив с вирусов прилагаю.

(удалено) пример удаленного вируса (в архиве zip). Никакую очистку и проверку системы не делал,чтобы не удалить файл-шифровальщик

 

Сообщение от модератора Mark D. Pearlstone
Ссылка удалена.

CollectionLog-2015.03.05-10.05.zip

README6.txt

mike 1

mike 1

Опубликовано
Опубликовано
  •  
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d1e96e3d27301e363aee1ed88d4ae885&text={searchTerms}


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d1e96e3d27301e363aee1ed88d4ae885&text={searchTerms}


O17 - HKLM\System\CCS\Services\Tcpip\..\{6F8CA0CF-E81A-4733-BFE1-D60E23623C9F}: NameServer = 37.10.116.208,8.8.4.4

 

Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
B92LqRQ.png
 

 

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-1820273032-3844274749-1465488857-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d1e96e3d27301e363aee1ed88d4ae885&text=
SearchScopes: HKU\S-1-5-21-1820273032-3844274749-1465488857-1001 -> {1772007D-0B49-46AC-98E7-0137BBB3C12B} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d1e96e3d27301e363aee1ed88d4ae885&text={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
2015-03-02 12:30 - 2015-03-03 16:46 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-02 12:30 - 2015-03-03 16:46 - 00000000 __SHD () C:\ProgramData\Windows
2015-03-02 12:30 - 2015-03-03 16:46 - 00000000 ___HD () C:\Users\Георгий\AppData\Roaming\EE9D3621
2015-03-02 09:58 - 2015-03-02 09:58 - 00442896 _____ () C:\Users\Георгий\AppData\Roaming\data13.dat
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 

Георгий (S-1-5-21-1820273032-3844274749-1465488857-1001 - Administrator - Enabled) => C:\Users\Георгий

 

Пароль на учетной записи какой-нибудь стоит?
Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано

 

 

Пароль стоит

Длина пароля какая?

Lerm

Lerm

Опубликовано
  • Автор
Опубликовано

 

 

 

Пароль стоит

Длина пароля какая?

 

7 знаков: 4 цифры и 3 буквы

mike 1

mike 1

Опубликовано
Опубликовано

Тогда похоже через софт поймали шифратора скачанный из сомнительных источников. 

 

С расшифровкой не поможем. Логи в порядке.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Женёк Петров
      Здравствуйте вирус зашифровал все фотографии
      Автор Женёк Петров
      Открыл какое то не известное сообщение, после чего более 10 тыс фотографии изменились в формат xtbl и так же были требования отправьте деньги и тогда расшифрует. Пробовал расшифровать через вашу утилиту но пишет ключ не найден.
      README1.txt.txt
      CollectionLog-2019.11.05-16.57.zip
    • Александр Филимонченко
      [РЕШЕНО] зашифрован в формате 2C3626463890F5A88BAE.xtbl
      Автор Александр Филимонченко
      Помогите расшифровать! Или подскажите куда обратиться. Заранее спасибо.
      зашифрованы.rar
    • Жека Шпак
      расширение xtbl
      Автор Жека Шпак
      несколько лет назад схватил вирус,который поменял все файлы на расширение .xtbl пропало много фоток.подскажите,как восстановить


      Сообщение от модератора thyrex Перенесено из раздела Компьютерная помощь
    • evserv
      Crysis старый не расшифровывается
      Автор evserv
      Файлы предположительно зашифрованы Crysis так как формат xtbl, но не один дешифровщик не может их расшифровать.
      Файлы зашифрованы были 5 лет назад.
       
      Файлы оригиналы и к ним криптованые  прилагаю, соответствие их можно определить по размеру.
       
      Подскажите чем можно дешифровать эти файлы...
      +Crypt.rar
    • Andrey73
      Имеются зашифрованные файлы XTBL, ShadeDecryptor не помогает
      Автор Andrey73
      В декабре 2017 года, был зашифрован компьютер, тогда не было денег и времени на его расшифровку.
      Сейчас и деньги и время появилось, обратился в сообщество Касперского, где с пользователь andrew75, помог с файлами .no_more_ransom, это тот формат которыми были зашифрована самая малая часть информации, в основном XTBL.
      Вот эта тема в сообществе, там подробно мы общались на эту тему: https://community.kaspersky.com/kaspersky-virus-removal-tool-77/goda-2-nazad-popal-v-kompyuter-virus-zashifroval-vse-fayly-v-format-xtbl-16600?postid=75980#post75980
      Получается, у меня есть xtbl файлы, есть файл txt с вымогательством, но программа ShadeDecryptor не помогает. Прошу помочь в решении проблемы, буду очень благодарен ! 
      На счет операционной системы (ОС), в 2018 году брат поставил 2 ОС и уже использовал 2 ОС, первую не трогал, а теперь я этот ЖМД поставил в свой компьютер.
      5 зашифрованных файла и txt с требованиями прикрепляю .
       
      57553.zip
×
×
  • Создать...