Файлы зашифрованы в *.xtbl

[Андрей5555]

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

8EACE35FDF68E4AB6010|0

на электронный адрес decode0987@gmail.com или decode098@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

8EACE35FDF68E4AB6010|0

to e-mail address decode0987@gmail.com or decode098@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.06.05-00.27.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\User\AppData\Local\safebrowser.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Temp\start.exe','');
 DelBHO('{21EAF666-26B3-4a3c-ABD0-CA2F5A326744}');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('D:\gtavicecity Toolbar\RubarUpdateService.exe','');
 DeleteService('csrcc');
 StopService('V-bates Updater');
 DeleteService('V-bates Updater');
 StopService('Mext Guard');
 DeleteService('Mext Guard');
 TerminateProcessByName('c:\programdata\schedule\timetasks.exe');
 QuarantineFile('c:\programdata\schedule\timetasks.exe','');
 TerminateProcessByName('c:\users\user\appdata\roaming\nssm.exe');
 QuarantineFile('c:\users\user\appdata\roaming\nssm.exe','');
 TerminateProcessByName('C:\Program Files\V-bates\notifier64.exe');
 QuarantineFile('C:\Program Files\V-bates\notifier64.exe','');
 TerminateProcessByName('c:\program files\v-bates\guardsvc.exe');
 QuarantineFile('c:\program files\v-bates\guardsvc.exe','');
 TerminateProcessByName('c:\program files\v-bates\extensionupdaterservice.exe');
 QuarantineFile('c:\program files\v-bates\extensionupdaterservice.exe','');
 DeleteFile('c:\program files\v-bates\extensionupdaterservice.exe','32');
 DeleteFile('c:\program files\v-bates\guardsvc.exe','32');
 DeleteFile('C:\Program Files\V-bates\notifier64.exe','32');
 DeleteFile('c:\programdata\schedule\timetasks.exe','32');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll','32');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll','32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie3\Mobogenie.exe','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.exe.bat','32');
 DeleteFile('D:\MPlayer for Windows\Updater.exe','32');
 DeleteFile('C:\Windows\Tasks\FF Watcher {19B697D3-E4F9-4AA4-B8D4-0D7FBC2C6037}.job','64');
 DeleteFile('C:\Windows\Tasks\FF Watcher {875B365A-CF12-472B-B340-3908F3FCBCCE}.job','64');
 DeleteFile('C:\Windows\system32\Tasks\FF Watcher {19B697D3-E4F9-4AA4-B8D4-0D7FBC2C6037}','64');
 DeleteFile('C:\Windows\system32\Tasks\FF Watcher {875B365A-CF12-472B-B340-3908F3FCBCCE}','64');
 DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
 DeleteFile('C:\Users\User\AppData\Local\Temp\start.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WdfHG','64');
 DeleteFile('C:\Users\User\AppData\Local\safebrowser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[Андрей5555]

вот

когда я отправляю письмо на майл newvirus@kaspersky.com

мне пишет

Это письмо создано автоматически сервером Mail.Ru, отвечать на него не нужно.

К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям, потому что:

virus message discarded

**********************


A message that you sent was rejected by the local scanning code that
checks incoming messages on this system. The following error was given:

  virus message discarded

------ This is a copy of your message, including all the headers.
------ No more than 1K characters of the body are included.

Received: from [94.41.186.21] (ident=mail)
by f116.i.mail.ru with local (envelope-from <yts.14@inbox.ru>)
id 1Z0jhQ-0001CW-2H
for newvirus@kaspersky.com; Fri, 05 Jun 2015 07:57:44 +0300
Received: from [94.41.186.21] by e.mail.ru with HTTP;
Fri, 05 Jun 2015 07:57:43 +0300
From: =?UTF-8?B?0LnRhiDQudGG?= <yts.14@inbox.ru>
To: newvirus@kaspersky.com
Subject: =?UTF-8?B?ItCX0LDQv9GA0L7RgSDQvdCwINC40YHRgdC70LXQtNC+0LLQsNC90LjQtSA=?=
 =?UTF-8?B?0LLRgNC10LTQvtC90L7RgdC90L7Qs9C+INGE0LDQudC70LAi?=
MIME-Version: 1.0
X-Mailer: Mail.Ru Mailer 1.0
X-Originating-IP: [94.41.186.21]
Date: Fri, 05 Jun 2015 07:57:43 +0300
X-Mru-UID: 675728317
X-Mru-IsAutoreg: 0
X-Mru-AutoregInfo: 26743581, []
X-Mru-User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 YaBrowser/15.4.2272.3716 Safari/537.36
X-Mru-Data: 468:1:1:94:819:0
Reply-To: =?UTF-8?B?0LnRhiDQudGG?= <yts.14@inbox.ru>
X-Priority: 3 (Normal)
Message-ID: <1433480263.507510369@f116.i.mail.ru>
Content-Type: multipart/mixed;
boundary="----V45aZc8fY8yCDtt5bELODDvg6bLH7WXD-Tj2mABDyBe7zRHj9:1433480263"
X-Mru-UID: 675728317
X-Mru-IsAutoreg: 0
X-Mru-AutoregInfo: 26743581, []
X-Mras: Ok
X-Mru-Karma: 2
X-Spam: undefined


------V45aZc8fY8yCDtt5bELODDvg6bLH7WXD-Tj2mABDyBe7zRHj9:1433480263
Content-Type: multipart/alternative;
boundary="--ALT--V45aZc8fY8yCDtt5bELODDvg6bLH7WXD1433480263"


----ALT--V45aZc8fY8yCDtt5bELODDvg6bLH7WXD1433480263
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: base64

CgoiINCS0YvQv9C+0LvQvdGP0LXRgtGB0Y8g0LfQsNC/0YDQvtGBINGF0Y3Qu9C/0LXRgNCwICIK
LS0gCtC50YYg0LnRhg==

----ALT--V45aZc8fY8yCDtt5bELODDvg6bLH7WXD1433480263
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: base64

CjxIVE1MPjxCT0RZPjxicj48YnI+PHNwYW4gc3R5bGU9ImNvbG9yOiAjMjgyODI4OyBmb250LWZh
bWlseTogaGVsdmV0aWNhLCBhcmlhbCwgc2Fucy1zZXJpZjsgZm9udC1zaXplOiAxNHB4OyBsaW5l
LWhlaWdodDogMjIuMzk5OTk5NjE4NTMwM3B4OyIgZGF0YS1tY2Utc3R5bGU9ImNvbG9yOiAjMjgy
ODI4OyBmb250LWZhbWlseTogaGVsdmV0aWNhLCBhcmlhbCwgc2Fucy1zZXJpZjsgZm9udC1zaXpl
OiAxNHB4OyBsaW5lLWhlaWdodDogMjIuMzk5OTk5NjE4NTMwM3B4OyI+Ijwvc3Bhbj48c3Ryb25n
IHN0eWxlPSJjb2xvcjogIzI4MjgyODsgZm9udC1mYW1pbHk6IGhlbHZldGljYSwgYXJpYWwsIHNh
bnMtc2VyaWY7IGZvbnQtc2l6ZTogMTRweDsgbGluZS

что делать?

AdwCleanerR1.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Андрей5555]

вот сделал

AdwCleanerS0.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Андрей5555]

После сканирование создалось два текстового файла

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Handler-x32: rubar - {7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} - D:\gtavicecity Toolbar\rubar.dll [2012-11-27] (Rubar)
FF Extension: NetSecurity v14.4.9 - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\itsoc@tele-talk.lv [2014-04-09]
CHR HKLM-x32\...\Chrome\Extension: [bollcjlfagmhimlopocelefkadjcijce] - https://clients2.google.com/service/update2/crx
OPR StartupUrls: "hxxp://www.yandex.ru/?win=137&clid=1936586", "hxxp://mail.ru/cnt/10445", "hxxp://1kanal.org/?src=hp1", "hxxp://1kanal.org/?src=hp1"
OPR Extension: (Купоинт – дает скидки) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\ifpjamfehjeobjanpappgckkmnhjnpgi [2014-05-30]
S3 Rubar Update Service; D:\gtavicecity Toolbar\RubarUpdateService.exe [156240 2012-11-27] (Rubar LLC) [File not signed]
2015-06-04 16:14 - 2015-06-04 16:14 - 06220854 _____ C:\Users\User\AppData\Roaming\BB40D456BB40D456.bmp
2015-06-04 13:31 - 2015-06-05 08:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-04 13:31 - 2015-06-05 08:23 - 00000000 __SHD C:\ProgramData\Windows
Task: {5014754B-6498-4B7C-AF98-0F1DD33A0B6A} - \kbrowser-updater-utility No Task File <==== ATTENTION
Task: {6567F0B6-69D3-4BEF-8E03-F3C462BD8E99} - \Updater Microsoft No Task File <==== ATTENTION
Task: {6C43E662-B096-4D43-B3EE-D2B69FFD5F1F} - \Safebrowser No Task File <==== ATTENTION
Task: {B13EC19B-14C2-43D8-A1E7-6795C74030F8} - \WdfHG No Task File <==== ATTENTION
Task: {B21B9627-54BE-4560-8E91-36E3C35F6910} - \Kinoroom Browser No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData:NT
AlternateDataStreams: C:\ProgramData:NT2
AlternateDataStreams: C:\Users\All Users:NT
AlternateDataStreams: C:\Users\All Users:NT2
AlternateDataStreams: C:\Users\Все пользователи:NT
AlternateDataStreams: C:\Users\Все пользователи:NT2
AlternateDataStreams: C:\ProgramData\Application Data:NT
AlternateDataStreams: C:\ProgramData\Application Data:NT2
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2
AlternateDataStreams: C:\ProgramData\TEMP:10D14739
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\Users\User\Application Data:NT
AlternateDataStreams: C:\Users\User\Application Data:NT2
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2
AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MPlayerForWindows_AutoUpdateV2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\V-bates64]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

[Андрей5555]

вот

Fixlog.txt

[mike 1]

Логи в порядке. С расшифровкой не поможем.

[Андрей5555]

а кому обратиться с расшифровкой?

[mike 1]

С расшифровкой могут помочь только злодеи.