Перейти к содержанию

xtbl криптовирус...

CROSS
 Поделиться

Рекомендуемые сообщения

CROSS

CROSS

Опубликовано
Опубликовано (изменено)

Все выполнено согласно инструкции. Вот логи... Так же, когда ковырялся в поисках злодея, находил в автозапуске программулю "Nezavisimo" с .bat файлом, написан явно русскими из которого было понятно, что на пациенте создавался сервер... Если нужен - могу прислать так же архивом. (пишу, кстати, не с пациента).

CollectionLog-2015.06.12-19.18.zip

Изменено пользователем CROSS
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{44627DAE-18B6-4ABC-8B22-13979EDFC56D}');
DelBHO('{05EB6920-D8AD-4350-BEF1-4F7107F70431}');
QuarantineFile('C:\Program Files\Torrent Search\Toolbar32.dll','');
QuarantineFile('C:\Users\Kostia\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Program Files\Napnut\Nezavisimo\krip.exe','');
DeleteFile('C:\Program Files\Napnut\Nezavisimo\krip.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Nezavisimo','command');
DeleteFile('C:\Users\Kostia\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Program Files\Torrent Search\Toolbar32.dll','32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам

CROSS

CROSS

Опубликовано
  • Автор
Опубликовано (изменено)

Check_Browsers_LNK.log нет в архиве с ClearLNK... Заранее извиняюсь за невнимательность, но где его взять?

UP's: нашел, вот лог. Жду ответа с newvirus@kaspersky.com.

ClearLNK-13.06.2015_02-29.log

Изменено пользователем CROSS
thyrex

thyrex

Опубликовано
Опубликовано

Неужели не заметили?

 

 


Сделайте новые логи по правилам
CROSS

CROSS

Опубликовано
  • Автор
Опубликовано (изменено)

Ответ:

Re: xtbl [KLAN-2862809313]
От кого: newvirus@kaspersky.com Кому: 
 
сегодня, 2:37
 
 
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

exe.resworb.bat

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

exe.resworb.bat

An unknown file has been received. It will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"
 
И новые логи:

CollectionLog-2015.06.13-15.00.zip

Изменено пользователем mike 1
Почта скрыта
thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

CROSS

CROSS

Опубликовано
  • Автор
Опубликовано (изменено)

Выполнено:

FRST.txt не цепляется: Загрузка пропущена (Ошибка403)

Addition.txt

Изменено пользователем CROSS
thyrex

thyrex

Опубликовано
Опубликовано

 

 


FRST.txt не цепляется: Загрузка пропущена (Ошибка403)
Заархивируйте
thyrex

thyrex

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL&q={searchTerms}
HKU\S-1-5-21-1576402954-3448742519-1083736156-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL&q={searchTerms}
HKU\S-1-5-21-1576402954-3448742519-1083736156-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
HKU\S-1-5-21-1576402954-3448742519-1083736156-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL&q={searchTerms}
HKU\S-1-5-21-1576402954-3448742519-1083736156-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
HKU\S-1-5-21-1576402954-3448742519-1083736156-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1576402954-3448742519-1083736156-1000 -> yandex.ru-205706 URL = http://webalta.ru/search?q={searchTerms}&from=IE
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
Toolbar: HKU\S-1-5-21-1576402954-3448742519-1083736156-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1425631250&from=face&uid=ST3500320AS_9QM8X2CLXXXX9QM8X2CL
FF Extension: SuperMegaBest.com - C:\Users\Kostia\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-09-28]
OPR Extension: (SuperMegaBest.com) - C:\Users\Kostia\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2014-09-28]
2015-06-04 19:49 - 2015-06-04 19:49 - 05292054 _____ C:\Users\Kostia\AppData\Roaming\74D4DDB974D4DDB9.bmp
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Public\Desktop\README1.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README9.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README8.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README7.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README6.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README5.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README4.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README3.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README2.txt
2015-06-04 19:48 - 2015-06-04 19:48 - 00000893 _____ C:\Users\Kostia\Desktop\README10.txt
2015-06-04 14:00 - 2015-06-12 16:03 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-04 14:00 - 2015-06-12 16:03 - 00000000 __SHD C:\ProgramData\Windows
2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README9.txt
2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README8.txt
2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README7.txt
2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README6.txt
2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README5.txt
2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README4.txt
2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README3.txt
2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README2.txt
2015-06-04 14:00 - 2015-06-04 14:00 - 00000893 _____ C:\README10.txt
2015-06-04 14:00 - 2015-06-04 14:00 - 00000000 ____D C:\Program Files\Napnut
2015-05-21 21:00 - 2015-05-22 06:21 - 00000000 ___HD C:\Users\Kostia\AppData\Roaming\749A7437
2015-06-13 15:40 - 2009-07-14 07:34 - 00026576 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-06-13 15:40 - 2009-07-14 07:34 - 00026576 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-06-13 02:06 - 2015-02-28 15:15 - 00000000 ____D C:\Users\Kostia\AppData\Roaming\Browsers
2015-06-12 15:59 - 2015-02-28 15:21 - 00000000 ____D C:\Users\Kostia\AppData\Local\8F1450C0-1425136883-11DD-8959-0023546DA90B
2015-06-12 15:59 - 2015-02-28 15:19 - 00000000 ____D C:\Users\Kostia\AppData\Roaming\8F1450C0-1425136741-11DD-8959-0023546DA90B
2015-03-06 11:44 - 2015-03-06 11:44 - 0613255 _____ (CMI Limited) C:\Users\Kostia\AppData\Local\nst3BEB.tmp
AlternateDataStreams: C:\Users\Kostia\Local Settings:wa
AlternateDataStreams: C:\Users\Kostia\AppData\Local:wa
AlternateDataStreams: C:\Users\Kostia\AppData\Local\Application Data:wa
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

thyrex

thyrex

Опубликовано
Опубликовано

Это не Вы создавали. Это результат выполнения предыдущего скрипта.

У Вас, кроме шифровальщика, еще гора мусора была найдена

 

Выяснилось, что помощь в расшифровке этого типа шифровальщика оказывается в индивидуальном порядке лицензионным пользователям продуктов компании

CROSS

CROSS

Опубликовано
  • Автор
Опубликовано

То есть если я приобрету лицензию вашего продукта - могу претендовать на помощь?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • evserv
      Crysis старый не расшифровывается
      Автор evserv
      Файлы предположительно зашифрованы Crysis так как формат xtbl, но не один дешифровщик не может их расшифровать.
      Файлы зашифрованы были 5 лет назад.
       
      Файлы оригиналы и к ним криптованые  прилагаю, соответствие их можно определить по размеру.
       
      Подскажите чем можно дешифровать эти файлы...
      +Crypt.rar
    • Andrey73
      Имеются зашифрованные файлы XTBL, ShadeDecryptor не помогает
      Автор Andrey73
      В декабре 2017 года, был зашифрован компьютер, тогда не было денег и времени на его расшифровку.
      Сейчас и деньги и время появилось, обратился в сообщество Касперского, где с пользователь andrew75, помог с файлами .no_more_ransom, это тот формат которыми были зашифрована самая малая часть информации, в основном XTBL.
      Вот эта тема в сообществе, там подробно мы общались на эту тему: https://community.kaspersky.com/kaspersky-virus-removal-tool-77/goda-2-nazad-popal-v-kompyuter-virus-zashifroval-vse-fayly-v-format-xtbl-16600?postid=75980#post75980
      Получается, у меня есть xtbl файлы, есть файл txt с вымогательством, но программа ShadeDecryptor не помогает. Прошу помочь в решении проблемы, буду очень благодарен ! 
      На счет операционной системы (ОС), в 2018 году брат поставил 2 ОС и уже использовал 2 ОС, первую не трогал, а теперь я этот ЖМД поставил в свой компьютер.
      5 зашифрованных файла и txt с требованиями прикрепляю .
       
      57553.zip
    • escadron
      Вирус-шифровальщик из далекого 2015 года
      Автор escadron
      В далеком 2015 году скачал какую-то фигню на комп, потерял практически все фотографии и видео. Получил от матери по шапке и благополучно об этом забыл.
      Сейчас же внезапно захотелось восстановить файлы, если, конечно, это возможно.
      Из-за ограничений формата прикрепляемых файлов не могу предоставить пример зашифрованных данных.
      Файл с почтой/другой информацией (README**.txt) либо был утерян, либо же вообще не появлялся на компьютере.
      Надеюсь, знатоки смогут помочь.
    • ericOTT
      Ваши файлы были зашифрованы.
      Автор ericOTT
      Здравствуйте!
      Прошу помощи. Одна надежда на вас; ни одна утилита с оффициального сайта Касперского не подходит..
      Зашифровались все важные для меня файлы на всех трёх винчестерах компьютера(2.5 терабайта), а именно фото, видео, картинки, видео и прочее..
       
      На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)
      А все файлы зашифровались в белиберду с расширением.xtbl,
      например вот: rfWw3-qCPp9sWKr9aa4ILQS3uyuXN75kcQ3O-LOxiwREmqXeHx8PsUr3a9GY1ELh.xtbl
       
      В многочисленных текстовиках созданных вирусом пишется вот это:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      82C551F386DC56F5EF49|0
      на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      82C551F386DC56F5EF49|0
      to e-mail address deshifrovka01@gmail.com or deshifrovka@india.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
       
       
      В дополнение к вложениям вот ссылка на файлообменник Я.диск ; выложил туда несколько зашифрованных файлов, тхт созданные вирусом, скрин рабочего стола, лог Др.Вэб и архив CollectionLog-2015.01.18-18.41.zip, + вообще всё что имеется по моей проблеме.
      Если что-то ещё надо, только скажите.
      Очень жду вашей помощи.
      Заранее огромное спасибо.

      CollectionLog-2015.01.18-18.41.zip
    • Жека Шпак
      расширение xtbl
      Автор Жека Шпак
      несколько лет назад схватил вирус,который поменял все файлы на расширение .xtbl пропало много фоток.подскажите,как восстановить


      Сообщение от модератора thyrex Перенесено из раздела Компьютерная помощь
×
×
  • Создать...