Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Все файлы зашифрованы xtbl

kav76n
 Поделиться

Рекомендуемые сообщения

kav76n

kav76n

Опубликовано
Опубликовано

6 числа выключил компьютер ,  а сегодня при включении увидел на рабочем столе надпись красным на черном  все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков. Рабочий стол был не активен, загрузился с загрузочного диска и запустил Kaspersky Virus Removal Tool 2011.После лечения перегрузился в обычном режиме, рабочий теперь активный. Все нужные файла зашифорованы. Пожалуйста подскажите что делать дальше и как можно восстановить зашифрованную информацию.

CollectionLog-2015.03.10-11.12.zip

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 QuarantineFile('C:\Windows\System32\wmuser.exe','');

 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');

 QuarantineFile('C:\Windows\system32\stmode.exe','');

 DeleteFile('C:\Windows\system32\stmode.exe','32');

 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');

 DeleteFile('C:\Windows\System32\wmuser.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wmuser');

 DeleteService('srvstmode');               

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 




R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421411534&from=amt&uid=ST3320413AS_Z2A7LDNSXXXXZ2A7LDNS

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421411534&from=amt&uid=ST3320413AS_Z2A7LDNSXXXXZ2A7LDNS

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421411534&from=amt&uid=ST3320413AS_Z2A7LDNSXXXXZ2A7LDNS&q={searchTerms}

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421411534&from=amt&uid=ST3320413AS_Z2A7LDNSXXXXZ2A7LDNS&q={searchTerms}

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421411534&from=amt&uid=ST3320413AS_Z2A7LDNSXXXXZ2A7LDNS

O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\XTab\SupTab.dll


 

 

Сделайте новые логи Автологгером. 

 

 





  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.


  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.


  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 


 

thyrex

thyrex

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2023463592-319847239-394858958-1184 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
2015-03-06 16:16 - 2015-03-06 16:16 - 00000000 ___HD () C:\Users\kistenev\AppData\Roaming\D05ED608
2015-03-10 08:05 - 2015-01-16 15:55 - 00000000 ____D () C:\Users\kistenev\AppData\Local\18220
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • romha
      Вирус зашифровал файлы
      Автор romha
      Здравствуйте!
      Прошу помощи. Зашифровались все важные для меня файлы
       
      На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt
       
      В многочисленных текстовиках созданных вирусом пишется вот это:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      4AE36805411BCAB6F8EF|0
      на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      4AE36805411BCAB6F8EF|0
      to e-mail address decode00001@gmail.com or decode00002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
      Kaspersky removal tool нашел 2 вируса: HAUR:Trojan.win32.Generic
                                                                        UDS:DangerousObject.Multi.generic
       
      Заранее огромное спасибо.
      CollectionLog-2015.03.16-18.55.zip
    • Artem894
      Файлы зашифрованы
      Автор Artem894
      Аналогичная проблема.
      код:B37EE17006285BE7A563|0
      на электронный адрес decode00001@gmail.com или decode00002@gmail.com    Сделал восстановление системы, что конечно же не помогло( Вирус забрался даже на виртуальный диск и там все испортил, мог ли он в почту зайти? лог МВАМ прикрепил  Лог.txt   Сообщение от модератора Mark D. Pearlstone Перенесено из темы
    • Aleks1000
      Вирус шифровальщик
      Автор Aleks1000
      Всефайлы зашифрованы "1IuJn44wXqin-KTVgVdHz79ku6TjwV8liA+sOVu0a2I=.xtbl".Как можно помочь сделать расшифровку?

      вот далее
      CollectionLog-2015.03.16-13.59.zip
      FRST.txt
    • BondBill
      Шифровальщик. Все фото и текст. Формат .XTBL
      Автор BondBill
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      D4DF7D2917D23C24E663|0
      на электронный адрес decoder1112@gmail.com илиdeshifrovka@india.com .
      Далее вы получите все необходимые инструкции. 
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
      CollectionLog-2015.02.25-21.36.zip
    • Катеринка_2016
      Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы
      Автор Катеринка_2016
      Доброго времени суток! Появилась такая проблема...
      Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Нашла тему на вашем форуме сделала всё по инструкции вот информация....
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.    
      Еще немного логов через программу  Farbar Recovery Scan Tool.
      cureit.log
      CollectionLog-2015.03.15-12.57.zip
      Addition.txt
      FRST.txt
×
×
  • Создать...