Перейти к содержанию

Вирус зашифровал файлы в .xtbl

olimp402
 Поделиться

Рекомендуемые сообщения

olimp402

olimp402

Опубликовано
Опубликовано (изменено)

Здравствуйте! На днях словил вирус после чего все файлы были зашифрованы в .xtbl

После заражения появился файл README, в котором было написано следующее:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
F2004BAB577ABC77991D|116|2|2
на электронный адрес decode0987@gmail.com или decode098@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
F2004BAB577ABC77991D|116|2|2
to e-mail address decode0987@gmail.com or decode098@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
Буду искренне благодарен вам за помощь ;)

CollectionLog-2015.05.26-20.12.zip

Изменено пользователем olimp402
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Home\AppData\Roaming\etranslator\etranslator.exe','');
QuarantineFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','');
DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
QuarantineFile('C:\Users\Home\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Program Files (x86)\gmsd_re_231\gmsd_re_231.exe','');
SetServiceStart('BDArKit', 4);
DeleteService('BDArKit');
SetServiceStart('BDDefense', 4);
DeleteService('BDDefense');
SetServiceStart('BDMWrench_x64', 4);
DeleteService('BDMWrench_x64');
DeleteService('BAPIDRV');
DeleteService('BDFileDefend');
DeleteService('BdSandBox');
SetServiceStart('bd0003', 4);
DeleteService('bd0003');
SetServiceStart('bd0002', 4);
DeleteService('bd0002');
SetServiceStart('bd0001', 4);
DeleteService('bd0001');
SetServiceStart('BDKVRTP', 4);
DeleteService('BDKVRTP');
SetServiceStart('BaiduHips', 4);
DeleteService('BaiduHips');
TerminateProcessByName('c:\program files (x86)\baidu\baidusd\3.0.0.4605\baidusdsvc.exe');
TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduhips\1.2.0.751\baiduhips.exe');
DeleteFile('c:\program files (x86)\common files\baidu\baiduhips\1.2.0.751\baiduhips.exe','32');
DeleteFile('c:\program files (x86)\baidu\baidusd\3.0.0.4605\baidusdsvc.exe','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\ad.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavArchive.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavCommon.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavEngine.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavFrame.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavOle.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavScanH.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavScanM.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavScanV.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavUnpack.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDLogicUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\BDKitUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\BDMAVCached.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\BDMAVEng.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\BDMPerfMon.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\bduf.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\TrustAndIso.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMAVE.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMDbSqlite.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMFrameWork.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMNet.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMReport.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\DriverManager.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\FileMon.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\HIPSClient.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\PrivacyProtect.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\websafe\websafe.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\ad.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsBusiness.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsCore.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduPrevUIn.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDConfig.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDLogicUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVCached.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVEng.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMBase.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMFrameWork.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMNet.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMReport.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMStringUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMTinyXml.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\DriverManager.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\TrustAndIso.dll','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
DeleteFile('C:\Windows\system32\drivers\BDDefense.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDFileDefend.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDShellExt.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDShellExt64.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
DeleteFile('C:\Program Files (x86)\gmsd_re_231\gmsd_re_231.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_re_231');
DeleteFile('C:\Users\Home\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Program Files (x86)\RCP\RegCleanPro.exe','32');
DeleteFile('C:\Windows\Tasks\RegClean Pro_DEFAULT.job','64');
DeleteFile('C:\Windows\Tasks\RegClean Pro_UPDATES.job','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','32');
DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
DeleteFile('C:\Windows\system32\Tasks\RegClean Pro','64');
DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_DEFAULT','64');
DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_UPDATES','64');
DeleteFile('C:\Windows\system32\Tasks\{8F5F9775-D3B0-41F9-9121-6318914DC10A}','64');
DeleteFile('C:\Users\Home\AppData\Roaming\etranslator\etranslator.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам

olimp402

olimp402

Опубликовано
  • Автор
Опубликовано

KLAN-2801129386 Вредоносный код в файле не обнаружен. exe.erolpxei.bat Получен неизвестный файл, он будет передан в Вирусную Лабораторию 

 

Сообщение от модератора Mark D. Pearlstone
Не выкладывайте quarantine.zip на форум. Файл удалён.

ClearLNK-26.05.2015_21-01.log

thyrex

thyrex

Опубликовано
Опубликовано

Забыли

 


Сделайте новые логи по правилам

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lina_ko
      KVRT не может удалить троян.
      Автор Lina_ko
      Добрый день, о великие. Прошу вас о помощи. Когда устанавливала пиратскую игру получила что-то наподобие недоделанного винлокера, который после перезапуска компа пропал. Проверила комп KVRT и он нашёл троян. После лечения с перезапуском он нашёл два трояна. После перезапуска с лечением снова, он снова нашёл два трояна. Так-же, при действии по инструкции я пошла отключать встроенный защитник windows и обнаружила что панели нет. Скрин и логи прилагаю. Помогите, кто чем может.

      CollectionLog-2026.01.18-10.05.zip report1.log report2.log
    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
×
×
  • Создать...