Перейти к содержанию
Конкурс на лучшую идею по развитию продукта Kaspersky для Android и/или iOS

Вирус шифровальшик .xtbl

Skiwey
 Share

Рекомендуемые сообщения

Skiwey Новичок

Skiwey

Опубликовано
Опубликовано

Днем прилетело на рабочий стол изображение что все зашифровано. Нашел на каждом диске аж 10 README. 

Ваши файлы были зашифрованы.
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
E11ABBD9C34515EE35608|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Помогите пжлста, все фото убил. 

 

CollectionLog-2015.04.03-18.52.zip

post-34220-0-21798700-1428072906_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\SkiWey\AppData\Local\18b0cd0\svсhоst.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\wasub.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\wasub.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\wasppacer.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\wasppacer.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\waagent.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\waagent.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\local\18b0cd0\svсhоst.exe');
QuarantineFile('c:\users\skiwey\appdata\local\18b0cd0\svсhоst.exe','');
TerminateProcessByName('c:\users\skiwey\appdata\roaming\windows\service.exe');
QuarantineFile('c:\users\skiwey\appdata\roaming\windows\service.exe','');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\service.exe','32');
DeleteFile('c:\users\skiwey\appdata\local\18b0cd0\svсhоst.exe','32');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\waagent.exe','32');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\wasppacer.exe','32');
DeleteFile('c:\users\skiwey\appdata\roaming\windows\wasub.exe','32');
DeleteFile('C:\Users\SkiWey\AppData\Local\18b0cd0\svсhоst.exe','32');
DeleteFile('C:\Users\SkiWey\AppData\Local\Amigo\Application\ok.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe');
DeleteFile('C:\Users\SkiWey\AppData\Local\Amigo\Application\vk.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ChromeUpdater');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Меняйте пароль от RDP - у Вас работала программа удаленного администрирования

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
  • 3 weeks later...
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Не нужно плодить темы по одной проблеме

 

2. Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1A5FB724');
DeleteFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
Skiwey Новичок

Skiwey

Опубликовано
  • Автор
Опубликовано

1. Не нужно плодить темы по одной проблеме

 

2. Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1A5FB724');
DeleteFile('C:\Users\SkiWey\AppData\Roaming\Windows\Profiles\1954198474\630458110\1A5FB724\bin.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

Вот что он выдает при выполнении скрипта

post-34220-0-48174200-1429447213_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

С расшифровкой не поможем

Ссылка на комментарий
Поделиться на другие сайты
Skiwey Новичок

Skiwey

Опубликовано
  • Автор
Опубликовано

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

 

  • Распакуйте архив с утилитой в отдельную папку.

     

     

  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

     

    move.gif

     

     

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

     

     

  • Прикрепите этот отчет к своему следующему сообщению.

     

     

 

 

С расшифровкой не поможем

ClearLNK-19.04.2015_19-49.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Синтезит
      ШИФРОВАЛЬШИК datastore@cyberfear.com
      От Синтезит
      Здравствуйте, помогите пожалуйста расшифровать.
      Ссылка на зашифрованные файлы от платформы 1с
      https://dropmefiles.com/8aGW7 пароль 0uJxTd
       
      Чистые файлы из архива Windows
      https://dropmefiles.com/PzSaC пароль ecUlCq
      Addition.txt FRST.txt
    • RusLine
      Помогите нарвался на шифровальшика.
      От RusLine
      Здравствуйте помогите чем сможете. Скачал с nnmclub total commander попользовался а утром зашифровало все фото файлы важные. Подскажите что делать ?
        



    • Obivan
      [РЕШЕНО] Вирус или скрипт.
      От Obivan
      Есть несколько проблем которые я заметил в работе своего компа после того как на новогодних каникулах в него поиграли детишки. В браузере хром невозможно ничего скачать, всегда обнаружен вирус, даже там где его не может быть. Заблочились обновления виндовс. Винда 11 про 22н2. Все, что на форумах обычно пишут сделать- делал, ничего не помогло. Антивирус стоит Касперский эндпоинт секурити. Сканировал куреит, авз, малвар и пр, что-то там нашлось, удалилось и вылечилось, но эффекта не дало. Кто знает, что делать? Давайте разбираться!
      CollectionLog-2025.01.16-19.59.zip
    • TloBeJluTeJlb
      Вирус John
      От TloBeJluTeJlb
      Здравствуйте, перед обращением прошерстил темы похожих проблем, но не нашёл своей. John каким-то совершенно непостижимым образом почти не влиял на работоспособность системы, а заметил я его исключительно из-за пропажи доступа к файлам Касперского, который полностью перестал запускаться. 

      Побился об ближайшую стену, подумал, прошёлся KVRT, которым ничего не нашло, подумал ещё немного, включил AV_block_remover. Он нашёл, сделал своё дело, но доступ к папке антивируса я всё ещё не получил :D! FRST, от нечего делать, тоже был задействован, но немного опосля. Короче говоря, я, даже после удаления злополучного майнера из системы, не могу получить доступ к своим же файлам.



       

      FRST.txt Fixlog.txt Addition.txt AV_block_remove_2025.01.20-07.45.log
    • jiil
      [РЕШЕНО] Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

×
×
  • Создать...