Перейти к содержанию

Вирус зашифровал файлы. Формат .xtbl

ruslan911
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin



 QuarantineFile('C:\Users\Руслан\AppData\Roaming\B49E73D8\bin.exe','');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DevidAgent');

 DeleteFile('C:\Users\Руслан\AppData\Roaming\B49E73D8\bin.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','B49E73D8');

 DeleteFile('C:\Windows\system32\Tasks\{B80C7F6A-B55F-4D52-B2C4-0C65134E7237}','64');

ExecuteSysClean;

RebootWindows(true);

end.

ruslan911

ruslan911

Опубликовано
  • Автор
Опубликовано

Всё сделал. После перезагрузки компа ничего не изменилось.

mike 1

mike 1

Опубликовано
Опубликовано

Новые логи Автологгером сделайте.

 

+ Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
2015-04-07 17:13 - 2015-04-10 08:24 - 00000000 ___HD () C:\Users\Руслан\AppData\Roaming\B49E73D8
2015-04-07 17:13 - 2015-04-08 22:02 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-04-07 17:13 - 2015-04-08 22:02 - 00000000 __SHD () C:\ProgramData\Windows
2015-02-04 09:59 - 2015-02-04 09:59 - 0442896 _____ () C:\Users\Руслан\AppData\Roaming\data13.dat
2015-04-08 12:31 - 2015-04-08 12:31 - 3148854 _____ () C:\Users\Руслан\AppData\Roaming\F1CF5FCCF1CF5FCC.bmp
Task: {C407A9A3-9976-4A07-9B31-0755C5B40C3C} - \{B80C7F6A-B55F-4D52-B2C4-0C65134E7237} No Task File <==== ATTENTION
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
 

 

mike 1

mike 1

Опубликовано
Опубликовано

Обновите:

 

Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2015-03-09 17:46:43
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------AdobeProduction----------------------
Adobe Flash Player 16 ActiveX v.16.0.0.305 Внимание! Скачать обновления
 
 
 
Логи в порядке. С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • BOBO
      Шифровальщик WantToCry
      Автор BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
    • Tyson
      Не работает клавиатура в Агенте аутентификации
      Автор Tyson
      Всем добрый день! 
       
      Начал постигать все "прелести" полнодискового шифрования касперского и столкнулся с проблемой, когда при загрузке Агента аутентификации не работают либо клавиатура, либо тачпад/мышь (к счастью одновременно пока не попадалось) и если без мыши еще обойтись как-то можно, то без клавиатуры тяжеловато, особенно для рядовых пользователей. С поддержкой контакт держим уже почти месяц, но результатов пока никаких... Может есть кто сталкивался с подобной проблемой? Удавалось ли её решить?
    • I_CaR
      Для чего нужен антивирусное ПО Касперского, если шифровальщики спокойно его отключают по RDP?
      Автор I_CaR
      Знаю AnyDesk из него ни чего нельзя нажать такого, что под защитой - Dr*eb, Касперского и т.п. и это вроде хорошо, что программы так себя защитили.
      Но почему на дворе 23-ий год третьего тысячелетия, нейронные сети, ИИ, но вот ПО по защите данных (антивирус Касперского) отключается парой скриптов от злоумышленников даже RDP?
      Зачем вообще платить за такой продукт?
      Есть ли смысл?
      Как показывает многолетняя практика, те вирусы, которые не убивают компьютер лечатся постфактум, даже если на ПК не было установлено антивирусное ПО. А вот те вирусы, что убивают ПК полностью - и не лечатся и спокойно проходят защиту от Касперского.
      И? И зачем тогда такое антивирусное ПО?
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в борьбе с шифровальщиками-вымогателями  
    • Anton Aralov
      Justdoit шифровальщик
      Автор Anton Aralov
      Взломали 11 компьютеров в сети.
      1) на большинстве машин не было админских прав
      2) пароль админа достаточно сложный для взлома( 12 знаков, цифры буквы символы)
      3) Шифровальщик удалил касперского со всех машин где он присутствовал.
      FRST.zip пример файлов.zip
    • l0l0l0zh
      В KWC не отображается ключ восстановления FileVault при запросе доступа к зашифрованному диску
      Автор l0l0l0zh
      Добрый день
      Для получения доступа к жесткому диску захожу в веб-консоль и нажимаю "Предоставить доступ к устройству в автономном режим" на MacOS
      Появляется окошко, где выбрана версия постоянной защиты, нажимаю снова "Получить ключ восстановления" и ничего не происходит, ключ не отображается

×
×
  • Создать...