Вирус шифровальшик .xtbl

[Skiwey]

Днем прилетело на рабочий стол изображение что все зашифровано. Нашел на каждом диске аж 10 README. 

Ваши файлы были зашифрованы.

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

E11ABBD9C34515EE35608|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Помогите пжлста, все фото убил. 

 

CollectionLog-2015.04.03-18.52.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\SkiWey\AppData\Local\18b0cd0\svсhоst.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\wasub.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\wasub.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\wasppacer.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\wasppacer.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\waagent.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\waagent.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\local\18b0cd0\svсhоst.exe');
QuarantineFile('c:\users\skiwey\appdata\local\18b0cd0\svсhоst.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\service.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\service.exe','');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\service.exe','32');
DeleteFile('c:\users\skiwey\appdata\local\18b0cd0\svсhоst.exe','32');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\waagent.exe','32');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\wasppacer.exe','32');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\wasub.exe','32');
DeleteFile('C:\Users\SkiWey\AppData\Local\18b0cd0\svсhоst.exe','32');
DeleteFile('C:\Users\SkiWey\AppData\Local\Amigo\Application\ok.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe');
DeleteFile('C:\Users\SkiWey\AppData\Local\Amigo\Application\vk.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ChromeUpdater');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Меняйте пароль от RDP - у Вас работала программа удаленного администрирования

 

Сделайте новые логи по правилам

[Skiwey]

У меня карантин получается пустой, пробовал 3 раза. Что делать?

[thyrex]

Делать новые логи

[Skiwey]

Недели две назад вирус зашифровал все изображения. Не было времени. Помогите

CollectionLog-2015.04.19-16.19.zip

[thyrex]

1. Не нужно плодить темы по одной проблеме

 

2. Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1A5FB724');
DeleteFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

[Skiwey]

1. Не нужно плодить темы по одной проблеме

 

2. Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1A5FB724');
DeleteFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

Вот что он выдает при выполнении скрипта

[thyrex]

Если карантин снова окажется пустым, приступайте к сбору новых логов

[Skiwey]

Если карантин снова окажется пустым, приступайте к сбору новых логов

CollectionLog-2015.04.19-18.46.zip

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
   
  
   
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

С расшифровкой не поможем

[Skiwey]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

 

• Распакуйте архив с утилитой в отдельную папку.

   

   

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

   

   

  

   

   

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

   

   

• Прикрепите этот отчет к своему следующему сообщению.

   

   

 

 

С расшифровкой не поможем

ClearLNK-19.04.2015_19-49.log

[thyrex]

Больше помочь нечем

[Skiwey]

Больше помочь нечем

Что мне теперь делать?

[thyrex]

Как вариант - воспользоваться написанным в теме http://virusinfo.info/showthread.php?t=156188(на Вирусинфо тему создавать не нужно)