Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифровались файлы на компьютере

pastral
 Поделиться

Рекомендуемые сообщения

pastral

pastral

Опубликовано
Опубликовано

Доброго времени суток. Словил шифровальщика. Все *txt, *rar и изображения стали XTLB. Компьютер лечил авастом и CureIT. Лог AVZ прикладываю.

CollectionLog-2015.04.02-22.36.zip

Roman_Five

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
 
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Program Files\Moo0\RightClicker Pro 1.46\RightClicker.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Windows\system.exe','');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Windows\system.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\RunAsStdUser Task','32');
 DeleteFile('C:\Program Files\Moo0\RightClicker Pro 1.46\RightClicker.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O3 - Toolbar: (no name) - {C98EE38D-21E4-4A50-907D-2B56FEC7013E} - (no file)
O3 - Toolbar: gtavicecity - {961a325c-7fdf-4a82-b0b5-43e136f4edb1} - C:\Program Files\gtavicecity Toolbar\rubar.dll
O18 - Protocol: rubar - {7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} - C:\Program Files\gtavicecity Toolbar\rubar.dll
 
Сделайте новые логи по правилам (только пункт 2).
 
+ логи AdwCleaner и FRSR
 
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Roman_Five

Roman_Five

Опубликовано
Опубликовано

удалите всё найденное в AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160


\\

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

Task: {4BC7E9CC-FF5D-48A9-863D-D6E69541860F} - \RunAsStdUser Task No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData:NT
AlternateDataStreams: C:\ProgramData:NT2
AlternateDataStreams: C:\Users\All Users:NT
AlternateDataStreams: C:\Users\All Users:NT2
AlternateDataStreams: C:\Users\Все пользователи:NT
AlternateDataStreams: C:\Users\Все пользователи:NT2
AlternateDataStreams: C:\ProgramData\Application Data:NT
AlternateDataStreams: C:\ProgramData\Application Data:NT2
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2
HKLM\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF
SearchScopes: HKU\S-1-5-21-1332336934-4252269549-840028924-1003 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF
S1 adgnetworktdi; system32\drivers\adgnetworktdi.sys [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
2015-03-31 17:58 - 2015-03-31 17:58 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-31 17:58 - 2015-03-31 17:58 - 00000000 __SHD () C:\ProgramData\Windows

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Shicu
      Ваши файлы были зашифрованы.
      Автор Shicu
      Здравствуйте!
      Прошу помощи.Все файлы зашифровались в белиберду с расширением.xtbl, что делать, я не знаю что случилось, меня дома не было, приехал и вот такие дела, можно ли это как-то победить?
      PS скрины этого вируса прилагаются



      CollectionLog-2015.07.11-00.31.zip
    • sm3r4
      зашифрованы xtbl
      Автор sm3r4
      прикрепил!


      Сообщение от модератора Roman_Five не надо писать в чужую тему. Addition.txt
      FRST.txt
    • Валера Арнаут
      Документы и фото зашифрованы на расширение .xtbl
      Автор Валера Арнаут
      Вот с таким я столкнулся
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 5F2D846811928F32EF13|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 5F2D846811928F32EF13|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Помогите
    • Lusine Zaqaryan
      Буду очень рад если поможете с расшифровкой файлов
      Автор Lusine Zaqaryan
      Помогите пожалуйста.
      Нужна помощь с расшифровкой 
      README1.txt
      README2.txt
      README3.txt
      README4.txt
      README5.txt
      README6.txt
      README7.txt
    • Руфим Мингалеев
      Зашифровались все файлы в формат .xblt
      Автор Руфим Мингалеев
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      72AB0D14D2F2C2B1945C|0
      на электронный адрес files1147@gmail.com или post100023@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      72AB0D14D2F2C2B1945C|0
      to e-mail address files1147@gmail.com or post100023@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
       
       
       
      Что можно сделать?
      arhiv.zip
×
×
  • Создать...