Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

словил шифратор

Tanad
 Поделиться

Рекомендуемые сообщения

Tanad

Tanad

Опубликовано
Опубликовано

не давича как вчера поймал это счастье... 

на ПК стоят 3 HDD (80\500\500), есть много инфы и прочего барахла (фильмы, игры, музыка и т.д.), но всем этим можно пожертвовать. Но есть документы и фотографии которые очень надо вернут, их немного, но надо...

соседние темы были прочитаны и изучены, но панацеи не найдено, пишут все, что надо подходить индивидуально.

Точно сказать как поймал не могу, до этого 3 дня качал фильмы и файло (всегда с одного и того же ресурса, ни разу проблем не было, что именно скачивал сейчас и не вспомню, но всё в общем большое), ещё лазал в инете (смотрел видео и новости). К сожалению антивируса нет, когда переставлял ОС, потерял лицензию...

 

файл "козла" прилагаю (см README1.txt , на каждом жёстком таких по 10 в корне).

 

Были проделаны действия. согласно темы: "Порядок оформления запроса о помощи", автор: "Roman_Five"

 

архив автолога и рапорты ниже: 

README1.txt

CollectionLog-2015.03.24-12.21.zip

report1.log

report2.log

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Администратор\appdata\roaming\x11\engine.exe','');
TerminateProcessByName('c:\users\Администратор\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\Администратор\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\users\Администратор\appdata\roaming\cppredistx86.exe');
QuarantineFile('c:\users\Администратор\appdata\roaming\cppredistx86.exe','');
DeleteFile('c:\users\Администратор\appdata\roaming\cppredistx86.exe','32');
DeleteFile('c:\users\Администратор\appdata\roaming\ssleas.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\Users\Администратор\appdata\roaming\x11\engine.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи по правилам

Tanad

Tanad

Опубликовано
  • Автор
Опубликовано

Отправлял трижды, всяко разно и трижды получал один и тот же ответ (см. ниже)

 

"""

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки.   Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

С уважением, Лаборатория Касперского

"""


KLAN-2623401904


Новые логи после скриптов:

CollectionLog-2015.03.26-08.55.zip

report1.log

report2.log

thyrex

thyrex

Опубликовано
Опубликовано

Удалите вручную

C:\Users\Администратор\AppData\Roaming\x11

C:\Users\Администратор\AppData\Roaming\ssleas.exe
C:\Users\Администратор\AppData\Roaming\dekovir
C:\Users\Администратор\AppData\Roaming\cppredistx86.exe

 

Tanad

Tanad

Опубликовано
  • Автор
Опубликовано

Нашёл, удалил...


перезагрузил...


Не помогла, что дальше???


Наверное глупый вопрос, но какова вообще статистика успешного дешифрования??? каковы шансы?

Tanad

Tanad

Опубликовано
  • Автор
Опубликовано

Ну так бы сразу и сказали, я бы не мучался, а то пишите, что винду сносить не надо. Нафига тогда были нужны все эти заморочки если всё равно винду сносить?

Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

 


а то пишите, что винду сносить не надо

 

 


если всё равно винду сносить?

 

где это написано?

  • Спасибо (+1) 1
Tanad

Tanad

Опубликовано
  • Автор
Опубликовано

Да не, это я так... расстроился просто. Не серчайте, думаете это единственный форум который я облазил...

И тем не менее, спасибо за помощь. Мой вопрос не остался без внимания, а это главное. Удачи вам, в вашем не лёгком деле.

И ещё раз спасибо.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Misha1
      Поймал вирус-шифровальщик (XTBL).
      Автор Misha1
      Поймал вирус, зашифровывающий файлы в формат XTBL. Зашифровал практически все данные.
      В корне каждого диска появилось 10 файлов README с текстом:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      9926C3FFD35960F5F07B|45|2|2
      на электронный адрес decodefiles1@gmail.com или decodefiles@india.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
      + то же на английском.
      Провел проверку как CureIt!, но вирус он не обнаружил.
      CollectionLog-2015.05.28-13.43.zip
    • Trooper
      Поймал вирус-шифровальщик (XTBL)
      Автор Trooper
      Поймал вирус, зашифровывающий файлы в формат XTBL. Часть данных зашифровал, часть не успел - я остановил процесс на полпути. Мне кажется, в диспетчере задач это процесс wmiprse.exe, по крайней мере, он произвольно появляется после загрузки систтемы и в случае загрузки браузеров или некоторых других приложений, а после его принудительной остановки действия вируса не наблюдается.
       
      В корне каждого диска повилось 10 файлов README с текстом:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      9926C3FFD35960F5F07B|45|2|2
      на электронный адрес decodefiles1@gmail.com или decodefiles@india.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
      + то же на английском.
       
      Провел проверку как CureIt!, так и KVRT. Они вирус не обнаружили, но он все еще в системе.
      CollectionLog-2015.05.21-23.20.zip
    • refusal
      Все важные файлы на всех дисках вашего компьютера были зашифрованы
      Автор refusal
      Аналогичная проблема.
       
      На рабочем столе появилась надпись красными буквами на черном экране:
      Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbtl и появилась 10 файлом readme в котором написано:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 17CD0BB751815826C592|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 17CD0BB751815826C592|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. CollectionLog-2015.05.28-17.21.zip
    • olimp402
      Вирус зашифровал файлы в .xtbl
      Автор olimp402
      Здравствуйте! На днях словил вирус после чего все файлы были зашифрованы в .xtbl
      После заражения появился файл README, в котором было написано следующее:
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: F2004BAB577ABC77991D|116|2|2 на электронный адрес decode0987@gmail.com или decode098@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: F2004BAB577ABC77991D|116|2|2 to e-mail address decode0987@gmail.com or decode098@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Буду искренне благодарен вам за помощь CollectionLog-2015.05.26-20.12.zip
    • DreamFlagship
      Зашифрованые данные на HDD формат XTBL
      Автор DreamFlagship
      Добрый день,у жены на компюторе ни один файл не открываеться,формат файлов XTBL
      все что было описано Здесь выполнил.
      Лог прикрепил.
      Надеюсь на помощь.
      Зарание спасибо.
      CollectionLog-2015.05.26-01.01.zip
×
×
  • Создать...