Зашифрованы фото, документы, БД 1с и другие файлы.

[YuriyT]

Здравствуйте.

Ребенок что-то скачивал, играл.

Зашифровались все фото, документы, БД 1с и другие нужные файлы.

имя файлов стал случайный набор символов, расширение xtbl

 

На рабочем столе появились файлы с текстом:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

67AAC5A95CBC97EC2CDB|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

Буду рад помощи.

CollectionLog-2015.06.03-08.37.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

 QuarantineFile('C:\windows\bcore.exe','');

 QuarantineFile('C:\Documents and Settings\Денис\Application Data\newSI_650\s_inst.exe','');

 QuarantineFile('C:\Documents and Settings\Денис\Application Data\newSI_642\s_inst.exe','');

 QuarantineFile('C:\WINDOWS\Temp\7.tmp','');

 QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');

 DeleteService('qrnfd_1_10_0_9');

 DeleteService('iSafeKrnlMon');

 DeleteService('ccnfd_1_10_0_2');

 DeleteService('BAPIDRV');

 DeleteService('gupigiby');

 DeleteFile('C:\Documents and Settings\Admin\Application Data\VOPackage\nsvAA.tmp','32');

 DeleteFile('C:\windows\system32\DRIVERS\BAPIDRV.sys','32');

 DeleteFile('C:\windows\system32\drivers\ccnfd_1_10_0_2.sys','32');

 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys','32');

 DeleteFile('C:\windows\system32\drivers\qrnfd_1_10_0_9.sys','32');

 DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk','32');

 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe','32');

 DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32');

 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');

 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');

 DeleteFile('C:\WINDOWS\Temp\7.tmp','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','urvilbkzze');

 DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');

 DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');

 DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');

 DeleteFile('C:\windows\Tasks\At1.job','32');

 DeleteFile('C:\windows\Tasks\EYYV.job','32');

 DeleteFile('C:\windows\Tasks\newSI_642.job','32');

 DeleteFile('C:\windows\Tasks\newSI_650.job','32');

 DeleteFile('C:\Documents and Settings\Денис\Application Data\newSI_642\s_inst.exe','32');

 DeleteFile('C:\Documents and Settings\Денис\Application Data\newSI_650\s_inst.exe','32');

 DeleteFile('C:\windows\bcore.exe','32');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  

• Прикрепите отчет к своему следующему сообщению.
  

 

Подробнее читайте в этом руководстве.

 

 

[thyrex]

Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



QuarantineFile('C:\windows\bcore.exe','');

 QuarantineFile('C:\Documents and Settings\Денис\Application Data\newSI_650\s_inst.exe','');

 QuarantineFile('C:\Documents and Settings\Денис\Application Data\newSI_642\s_inst.exe','');

 QuarantineFile('C:\DOCUME~1\DA19~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');

 DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');

 DelBHO('{A18EA34C-6D33-4298-8A54-7F16499904C0}');

 DelBHO('{b608cc98-54de-4775-96c9-097de398500c}');

 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');

 DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');

 DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');

 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');

 QuarantineFile('C:\Documents and Settings\Алена\Local Settings\Application Data\PriceFountain\PriceFountainIE.dll','');

 QuarantineFile('C:\Program Files\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll','');

 QuarantineFile('C:\Program Files\advPlugin\Toolbar32.dll','');

 QuarantineFile('C:\WINDOWS\Temp\7.tmp','');

 QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');

 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');

 QuarantineFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','');

 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe','');

 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe','32');

 DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32');

 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');

 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');

 DeleteFile('C:\WINDOWS\Temp\7.tmp','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','urvilbkzze');

 DeleteFile('C:\Program Files\advPlugin\Toolbar32.dll','32');

 DeleteFile('C:\Program Files\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll','32');

 DeleteFile('C:\Documents and Settings\Алена\Local Settings\Application Data\PriceFountain\PriceFountainIE.dll','32');

 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');

 DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');

 DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');

 DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');

 DeleteFile('C:\windows\Tasks\At1.job','32');

 DeleteFile('C:\DOCUME~1\DA19~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');

 DeleteFile('C:\windows\Tasks\EYYV.job','32');

 DeleteFile('C:\windows\Tasks\newSI_642.job','32');

 DeleteFile('C:\Documents and Settings\Денис\Application Data\newSI_642\s_inst.exe','32');

 DeleteFile('C:\Documents and Settings\Денис\Application Data\newSI_650\s_inst.exe','32');

 DeleteFile('C:\windows\Tasks\newSI_650.job','32');

 DeleteFile('C:\windows\bcore.exe','32');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам