Перейти к содержанию

Вирус шифровальшик .xtbl


Рекомендуемые сообщения

Днем прилетело на рабочий стол изображение что все зашифровано. Нашел на каждом диске аж 10 README. 

Ваши файлы были зашифрованы.
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
E11ABBD9C34515EE35608|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Помогите пжлста, все фото убил. 

 

CollectionLog-2015.04.03-18.52.zip

post-34220-0-21798700-1428072906_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\SkiWey\AppData\Local\18b0cd0\svсhоst.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\wasub.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\wasub.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\wasppacer.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\wasppacer.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\waagent.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\waagent.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\local\18b0cd0\svсhоst.exe');
QuarantineFile('c:\users\skiwey\appdata\local\18b0cd0\svсhоst.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\service.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\service.exe','');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\service.exe','32');
DeleteFile('c:\users\skiwey\appdata\local\18b0cd0\svсhоst.exe','32');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\waagent.exe','32');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\wasppacer.exe','32');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\wasub.exe','32');
DeleteFile('C:\Users\SkiWey\AppData\Local\18b0cd0\svсhоst.exe','32');
DeleteFile('C:\Users\SkiWey\AppData\Local\Amigo\Application\ok.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe');
DeleteFile('C:\Users\SkiWey\AppData\Local\Amigo\Application\vk.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ChromeUpdater');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Меняйте пароль от RDP - у Вас работала программа удаленного администрирования

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

  • 3 weeks later...

1. Не нужно плодить темы по одной проблеме

 

2. Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1A5FB724');
DeleteFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты

1. Не нужно плодить темы по одной проблеме

 

2. Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1A5FB724');
DeleteFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

Вот что он выдает при выполнении скрипта

post-34220-0-48174200-1429447213_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

С расшифровкой не поможем

Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

 

  • Распакуйте архив с утилитой в отдельную папку.

     

     

  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

     

    move.gif

     

     

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

     

     

  • Прикрепите этот отчет к своему следующему сообщению.

     

     

 

 

С расшифровкой не поможем

ClearLNK-19.04.2015_19-49.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kiddr
      От kiddr
      Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:   "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 1E05A087200D94333D18|0 на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."   All the important files on your computer were encrypted. To decrypt the files you should send the following code: 1E05A087200D94333D18|0 to e-mail address decodefile001@gmail.com or decodefile002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый.    Прикрепляю файлы логов, отчет антивируса и ветку реестра.  
      Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"
      CollectionLog-2015.09.25-10.15.zip
      cureit.rar
      Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rar
    • SergeyAO
      От SergeyAO
      Приветсвую всех.
      Нужна помощь, вчера вирус зашифровал все файлы в основном документы office, на 4 дисках.
      Человеку пришло на почту письмо с документом по работе, но неизвестно от кого, открыли документ пустая страница ничего нет, и через некоторое время на экране сообщение, ваши файлы зашифрованы отправьте код на почту.
       
      Файл был "Здравствуйте.docx" KAV никак не отреагировал, на другой машине где были ограничены права пользователя док не открылся, KAV увидел в "здравствуйте.docx/word/embeddings/oleObject1.bin/C:/Users/836D~1/AppData/Local/Temp/PEWER POINT PRESENTATION.exe".
       
      Kaspersky Virus Removal Tool нашел Trojan-Ransom.Win32.Shade.ur.
      Утилита TDSSKiller для борьбы с руткитами ничего не обнаружил.
       
      Очень много информации, и важных документов, жду помощи, спасибо.
      CollectionLog-2015.09.22-11.30.zip
    • Ak3s
      От Ak3s
      Вирус зашифровал 40 GB фотографий. Не знаю что делать...
      Вы - единственная надежда.
      Помогите пожалуйста...
      CollectionLog-2015.07.26-11.44.zip
    • baron_171
      От baron_171
      Такая проблема: на ком попал вирус, зашифровал все важные для меня фотографии(очень много)...
      Что делать, незнаю..прошу помощи
       
      CollectionLog-2015.07.26-12.15.zip
    • Дмитрий Назаров
      От Дмитрий Назаров
      Добрый день! Прошу помощи в лечении (дешифрации) файлов от вируса шифровальщика.   Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 6A748682D3920B87DFA5|0 на электронный адрес post8881@gmail.com или post24932@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.    
      CollectionLog-2015.07.21-13.34.zip
×
×
  • Создать...