Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Залез вирус и зашифровал файлы в .xtbl

gluk_balda
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

 

 

 AdwCleaner ничего тут нету.

А вы случайно на кнопку "Удалить" не нажимали?

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
gluk_balda

gluk_balda

Опубликовано
  • Автор
Опубликовано

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

Addition_22-05-2015_11-47-29.txt

FRST_22-05-2015_11-47-29.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3ef2df8dd4c7a9cf5f7893df6f868440&text= <==== ATTENTION
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2015-01-12]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehfanjejklfmnldbbclpocdbceaeemkn [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-17]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\liignembjmccgkoaikcpfkoeepbnelph [2014-10-05]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman [2014-08-25]
CHR HKU\S-1-5-21-3430153571-2773525882-1605993025-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
NETSVCx32: vhtuicoapz -> C:\Windows\SysWOW64\saqtliw.dll ()
C:\Windows\SysWOW64\saqtliw.dll
2015-05-19 21:01 - 2015-05-19 21:01 - 03932214 _____ () C:\Users\Витя\AppData\Roaming\0A72D6940A72D694.bmp
2015-05-19 19:57 - 2015-05-19 22:01 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-05-19 19:57 - 2015-05-19 22:01 - 00000000 __SHD () C:\ProgramData\Windows
C:\Users\Витя\AppData\Local\Temp\438C7CA8EF4D934D.exe
C:\Users\Витя\AppData\Local\Temp\amigo_setup.exe
C:\Users\Витя\AppData\Local\Temp\AskSLib.dll
C:\Users\Витя\AppData\Local\Temp\B6E818863B6616A3.exe
C:\Users\Витя\AppData\Local\Temp\BaiduAn.Setup.1117.4.0.0.516_1000163737.exe
C:\Users\Витя\AppData\Local\Temp\Baidusd.Setup.3.0.0.4609.youqian_1000163737.exe
C:\Users\Витя\AppData\Local\Temp\jre-8u45-windows-au.exe
C:\Users\Витя\AppData\Local\Temp\KMP_3.9.1.132.exe
C:\Users\Витя\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Витя\AppData\Local\Temp\minimp3.exe
C:\Users\Витя\AppData\Local\Temp\nvSCPAPI.dll
C:\Users\Витя\AppData\Local\Temp\nvStInst.exe
C:\Users\Витя\AppData\Local\Temp\Quarantine.exe
C:\Users\Витя\AppData\Local\Temp\sender.exe
C:\Users\Витя\AppData\Local\Temp\Setup-bm.exe
C:\Users\Витя\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Витя\AppData\Local\Temp\sqlite3.dll
C:\Users\Витя\AppData\Local\Temp\tmpE057.exe
C:\Users\Витя\AppData\Local\Temp\UmmyVideoDownloader.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты
gluk_balda

gluk_balda

Опубликовано
  • Автор
Опубликовано

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3ef2df8dd4c7a9cf5f7893df6f868440&text= <==== ATTENTION
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2015-01-12]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehfanjejklfmnldbbclpocdbceaeemkn [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-17]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\liignembjmccgkoaikcpfkoeepbnelph [2014-10-05]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-08-25]
CHR Extension: (No Name) - C:\Users\Витя\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman [2014-08-25]
CHR HKU\S-1-5-21-3430153571-2773525882-1605993025-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
NETSVCx32: vhtuicoapz -> C:\Windows\SysWOW64\saqtliw.dll ()
C:\Windows\SysWOW64\saqtliw.dll
2015-05-19 21:01 - 2015-05-19 21:01 - 03932214 _____ () C:\Users\Витя\AppData\Roaming\0A72D6940A72D694.bmp
2015-05-19 19:57 - 2015-05-19 22:01 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-05-19 19:57 - 2015-05-19 22:01 - 00000000 __SHD () C:\ProgramData\Windows
C:\Users\Витя\AppData\Local\Temp\438C7CA8EF4D934D.exe
C:\Users\Витя\AppData\Local\Temp\amigo_setup.exe
C:\Users\Витя\AppData\Local\Temp\AskSLib.dll
C:\Users\Витя\AppData\Local\Temp\B6E818863B6616A3.exe
C:\Users\Витя\AppData\Local\Temp\BaiduAn.Setup.1117.4.0.0.516_1000163737.exe
C:\Users\Витя\AppData\Local\Temp\Baidusd.Setup.3.0.0.4609.youqian_1000163737.exe
C:\Users\Витя\AppData\Local\Temp\jre-8u45-windows-au.exe
C:\Users\Витя\AppData\Local\Temp\KMP_3.9.1.132.exe
C:\Users\Витя\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Витя\AppData\Local\Temp\minimp3.exe
C:\Users\Витя\AppData\Local\Temp\nvSCPAPI.dll
C:\Users\Витя\AppData\Local\Temp\nvStInst.exe
C:\Users\Витя\AppData\Local\Temp\Quarantine.exe
C:\Users\Витя\AppData\Local\Temp\sender.exe
C:\Users\Витя\AppData\Local\Temp\Setup-bm.exe
C:\Users\Витя\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Витя\AppData\Local\Temp\sqlite3.dll
C:\Users\Витя\AppData\Local\Temp\tmpE057.exe
C:\Users\Витя\AppData\Local\Temp\UmmyVideoDownloader.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
gluk_balda

gluk_balda

Опубликовано
  • Автор
Опубликовано

 

Логи в порядке. С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188

 

А вот как щас правильно перестановить ОС,полностью чистить диск д?

Ссылка на комментарий
Поделиться на другие сайты
gluk_balda

gluk_balda

Опубликовано
  • Автор
Опубликовано

А зачем переставлять систему? Файлы останутся зашифрованными даже после переустановки системы.

Почему же? я диск д стирать буду,а когда устанавливать ОС очищу диск С,А как по другому? Они только мешают,из за них не работают большинство приложений(все испортили,а расшифровать, наверное, никак) Или какие варианты есть?

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

На будущее рекомендую хотя бы раз в месяц делать резервные копии ценных данных на внешний жесткий диск или облако. Антивирус рекомендую настроить таким образом  http://support.kaspersky.ru/10953

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
×
×
  • Создать...