Перейти к содержанию

Вирус шифровальшик .xtbl

Skiwey
 Share

Рекомендуемые сообщения

Skiwey Новичок

Skiwey

Опубликовано
Опубликовано

Днем прилетело на рабочий стол изображение что все зашифровано. Нашел на каждом диске аж 10 README. 

Ваши файлы были зашифрованы.
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
E11ABBD9C34515EE35608|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Помогите пжлста, все фото убил. 

 

CollectionLog-2015.04.03-18.52.zip

post-34220-0-21798700-1428072906_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\SkiWey\AppData\Local\18b0cd0\svсhоst.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\wasub.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\wasub.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\wasppacer.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\wasppacer.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\waagent.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\waagent.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\local\18b0cd0\svсhоst.exe');
QuarantineFile('c:\users\skiwey\appdata\local\18b0cd0\svсhоst.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\service.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\service.exe','');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\service.exe','32');
DeleteFile('c:\users\skiwey\appdata\local\18b0cd0\svсhоst.exe','32');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\waagent.exe','32');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\wasppacer.exe','32');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\wasub.exe','32');
DeleteFile('C:\Users\SkiWey\AppData\Local\18b0cd0\svсhоst.exe','32');
DeleteFile('C:\Users\SkiWey\AppData\Local\Amigo\Application\ok.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe');
DeleteFile('C:\Users\SkiWey\AppData\Local\Amigo\Application\vk.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ChromeUpdater');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Меняйте пароль от RDP - у Вас работала программа удаленного администрирования

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
  • 3 weeks later...
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Не нужно плодить темы по одной проблеме

 

2. Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1A5FB724');
DeleteFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
Skiwey Новичок

Skiwey

Опубликовано
  • Автор
Опубликовано

1. Не нужно плодить темы по одной проблеме

 

2. Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1A5FB724');
DeleteFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

Вот что он выдает при выполнении скрипта

post-34220-0-48174200-1429447213_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

С расшифровкой не поможем

Ссылка на комментарий
Поделиться на другие сайты
Skiwey Новичок

Skiwey

Опубликовано
  • Автор
Опубликовано

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

 

  • Распакуйте архив с утилитой в отдельную папку.

     

     

  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

     

    move.gif

     

     

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

     

     

  • Прикрепите этот отчет к своему следующему сообщению.

     

     

 

 

С расшифровкой не поможем

ClearLNK-19.04.2015_19-49.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • sergei5
      шифровальшик зашировал все данные
      От sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
    • Синтезит
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Синтезит
      Здравствуйте, помогите пожалуйста расшифровать.
      Ссылка на зашифрованные файлы от платформы 1с
      https://dropmefiles.com/8aGW7 пароль 0uJxTd
       
      Чистые файлы из архива Windows
      https://dropmefiles.com/PzSaC пароль ecUlCq
      Addition.txt FRST.txt
    • RusLine
      Помогите нарвался на шифровальшика.
      От RusLine
      Здравствуйте помогите чем сможете. Скачал с nnmclub total commander попользовался а утром зашифровало все фото файлы важные. Подскажите что делать ?
        



    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

×
×
  • Создать...