Перейти к содержанию

Вирус зашифровал файлы в .xtbl

olimp402
 Поделиться

Рекомендуемые сообщения

olimp402

olimp402

Опубликовано
Опубликовано (изменено)

Здравствуйте! На днях словил вирус после чего все файлы были зашифрованы в .xtbl

После заражения появился файл README, в котором было написано следующее:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
F2004BAB577ABC77991D|116|2|2
на электронный адрес decode0987@gmail.com или decode098@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
F2004BAB577ABC77991D|116|2|2
to e-mail address decode0987@gmail.com or decode098@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
Буду искренне благодарен вам за помощь ;)

CollectionLog-2015.05.26-20.12.zip

Изменено пользователем olimp402
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Home\AppData\Roaming\etranslator\etranslator.exe','');
QuarantineFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','');
DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
QuarantineFile('C:\Users\Home\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Program Files (x86)\gmsd_re_231\gmsd_re_231.exe','');
SetServiceStart('BDArKit', 4);
DeleteService('BDArKit');
SetServiceStart('BDDefense', 4);
DeleteService('BDDefense');
SetServiceStart('BDMWrench_x64', 4);
DeleteService('BDMWrench_x64');
DeleteService('BAPIDRV');
DeleteService('BDFileDefend');
DeleteService('BdSandBox');
SetServiceStart('bd0003', 4);
DeleteService('bd0003');
SetServiceStart('bd0002', 4);
DeleteService('bd0002');
SetServiceStart('bd0001', 4);
DeleteService('bd0001');
SetServiceStart('BDKVRTP', 4);
DeleteService('BDKVRTP');
SetServiceStart('BaiduHips', 4);
DeleteService('BaiduHips');
TerminateProcessByName('c:\program files (x86)\baidu\baidusd\3.0.0.4605\baidusdsvc.exe');
TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduhips\1.2.0.751\baiduhips.exe');
DeleteFile('c:\program files (x86)\common files\baidu\baiduhips\1.2.0.751\baiduhips.exe','32');
DeleteFile('c:\program files (x86)\baidu\baidusd\3.0.0.4605\baidusdsvc.exe','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\ad.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavArchive.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavCommon.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavEngine.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavFrame.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavOle.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavScanH.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavScanM.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavScanV.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavUnpack.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDLogicUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\BDKitUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\BDMAVCached.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\BDMAVEng.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\BDMPerfMon.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\bduf.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\TrustAndIso.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMAVE.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMDbSqlite.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMFrameWork.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMNet.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMReport.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\DriverManager.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\FileMon.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\HIPSClient.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\PrivacyProtect.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\websafe\websafe.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\ad.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsBusiness.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsCore.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduPrevUIn.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDConfig.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDLogicUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVCached.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVEng.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMBase.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMFrameWork.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMNet.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMReport.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMStringUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMTinyXml.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\DriverManager.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\TrustAndIso.dll','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
DeleteFile('C:\Windows\system32\drivers\BDDefense.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDFileDefend.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDShellExt.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDShellExt64.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
DeleteFile('C:\Program Files (x86)\gmsd_re_231\gmsd_re_231.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_re_231');
DeleteFile('C:\Users\Home\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Program Files (x86)\RCP\RegCleanPro.exe','32');
DeleteFile('C:\Windows\Tasks\RegClean Pro_DEFAULT.job','64');
DeleteFile('C:\Windows\Tasks\RegClean Pro_UPDATES.job','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','32');
DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
DeleteFile('C:\Windows\system32\Tasks\RegClean Pro','64');
DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_DEFAULT','64');
DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_UPDATES','64');
DeleteFile('C:\Windows\system32\Tasks\{8F5F9775-D3B0-41F9-9121-6318914DC10A}','64');
DeleteFile('C:\Users\Home\AppData\Roaming\etranslator\etranslator.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам

olimp402

olimp402

Опубликовано
  • Автор
Опубликовано

KLAN-2801129386 Вредоносный код в файле не обнаружен. exe.erolpxei.bat Получен неизвестный файл, он будет передан в Вирусную Лабораторию 

 

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте quarantine.zip на форум. Файл удалён.

ClearLNK-26.05.2015_21-01.log

thyrex

thyrex

Опубликовано
Опубликовано

Забыли

 


Сделайте новые логи по правилам

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • m1ghtybtw
      не работает интернет из-за вируса
      Автор m1ghtybtw
      Приветствую, сегодня с момента включения пк не работает интернет, в дом.ру сказали, что проблема со стороны моего пк, запустил dr.web cureit и выдал вирус, после в планировщике задач нашёл этот файл в папке utorrent, на пк у меня qbittorrent, найти я папку с вирусным файлом не смог, в ласт активити идно, что этот вирус запустился сразу после включения пк.
       
      CollectionLog-2025.10.11-20.01.zip
    • serenka103
      [РЕШЕНО] Переименовались службы из за вирусов!
      Автор serenka103
      Здравствуйте! Возникла проблема, у меня из за вирусов не работает центр обновления Windows, также переименовались службы: wuauserv_bkp, BITS_bkp, dosvc.bkp UsoSvc.bkp и WasSMedicSvc_bkp. Что мне делать?
      CollectionLog-2025.10.10-12.31.zip
    • u66ivashka
      Файлы зашифрованы
      Автор u66ivashka
      В общем, вот что у меня на рабочем столе, файлов на нём нет, только эти два txt. Также на фото видно, что находится в дисках. К самим файлам я могу попасть через их расположение, они живые. Можно ли как нибудь все расшифровать? Антивирусом все почистил 



    • Akira
      Не получается удалить NET:MINERS.URL
      Автор Akira
      Здравствуйте! не получается удалить майнер NET:MINERS.URL. Dr.web так же не смог удалить
    • Vyatka
      [РЕШЕНО] Майнер и возможно руткит
      Автор Vyatka
      Добрый день. На ноутбуке заметил просадку фпс в играх.  Заметил нагрузку на процессор (спадает спустя секунду), вентиляторы вообще не крутились.
      Переустановил систему. После переустановки нагрузка на процессор осталась и вентиляторы начали крутить в отсечку.
      Также судя по всему в системе прописан скрытый администратор.
      После неудачных попыток вернуть контроль над ноутбуком, решил проверить рабочий пк (пишу с него). На рабочем пк обнаружилась та же проблема.
      Логи прикрепляю.
      CollectionLog-2025.10.03-15.40.zip
×
×
  • Создать...