Перейти к содержанию

Вирус зашифровал файлы на компьютере

Игорь Дорошенко

От Игорь Дорошенко
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Игорь Дорошенко Новичок

Игорь Дорошенко

Опубликовано
Опубликовано

Здравствуйте. Практически все файлы были зашифрованы, файлы приобрели расширение .xtbl. Поменялась заставка на рабочем столе -"Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы, подробности вы можете прочитать в файлах README.txt на любом из дисков." Текст файла - "Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
F51F0820FD31A5EA5C7F|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
F51F0820FD31A5EA5C7F|0
to e-mail address decode00001@gmail.com or decode00002@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data." 
 
Надеюсь на вашу помощь 

CollectionLog-2015.03.10-23.11.zip

post-33904-0-76176200-1426019333_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Photo\AppData\Roaming\cppredistx86.exe','');
 QuarantineFile('C:\Users\Photo\AppData\Roaming\C81ABA5D\bin.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Users\Photo\AppData\Roaming\C81ABA5D\bin.exe','32');
 DeleteFile('C:\Users\Photo\AppData\Roaming\cppredistx86.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C81ABA5D','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010','command');                  
BC_ImportAll;
ExecuteSysClean;    
BC_Activate;    
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты
Игорь Дорошенко Новичок

Игорь Дорошенко

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

bin.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского
 
"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"   [KLAN-2581795740]


У меня есть файл откуда я цепанул этот вирус, уверен на 99%, если это поможет делу, могу предоставить. Или отправить его в лабораторию.

CollectionLog-2015.03.11-02.37.zip

AdwCleanerR0.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

удалите всё найденное в AdwCleaner

 

приложите логи FRST


http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Его и не будет

 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-01-02]
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-01-02]
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-01-02]
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2015-01-02]
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-01-02]
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-01-02]
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\deoeenbkoccjaefmmhpmlegngdjohdcm [2015-01-02]
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\eiimnmioipafcokbfikbljfdeojpcgbh [2015-02-22]
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-01-02]
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-01-02]
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\hoboppgpbgclpfnjfdidokiilachfcbb [2015-01-02]
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-01-02]
CHR Extension: (No Name) - C:\Users\Photo\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-01-02]
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
2015-03-10 18:31 - 2014-12-27 12:06 - 00000000 ____D () C:\Users\Все пользователи\CHueaiPMe
2015-03-10 18:31 - 2014-12-27 12:06 - 00000000 ____D () C:\Users\Все пользователи\240d5967010cf50b
2015-03-10 18:31 - 2014-12-27 12:06 - 00000000 ____D () C:\ProgramData\CHueaiPMe
2015-03-10 18:31 - 2014-12-27 12:06 - 00000000 ____D () C:\ProgramData\240d5967010cf50b
2015-03-10 18:31 - 2014-12-21 00:17 - 00000000 ____D () C:\Users\Все пользователи\nkpbokpdmdaaggliebidbiejgpiekdlb
2015-03-10 18:31 - 2014-12-21 00:17 - 00000000 ____D () C:\Users\Все пользователи\2597830858996774155
2015-03-10 18:31 - 2014-12-21 00:17 - 00000000 ____D () C:\ProgramData\nkpbokpdmdaaggliebidbiejgpiekdlb
2015-03-10 18:31 - 2014-12-21 00:17 - 00000000 ____D () C:\ProgramData\2597830858996774155
C:\Users\Photo\AppData\Local\Temp\mcse32_00.dll
C:\Users\Photo\AppData\Local\Temp\mcse64_00.dll
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...