Перейти к содержанию

Все файлы зашифрованы в формате XTBL


Рекомендуемые сообщения

 

Все файлы зашифрованы в формате XTBL, также имеется инструкция для расшифровки:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
18A41F714AA187DE4208|0
на электронный адрес files1147@gmail.com или post100023@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Прошу расшифровать файлы, логи я выложил,заранее спасибо))

CollectionLog-2015.06.18-00.01.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\комп\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Users\0971~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Windows\Test.bat','');
QuarantineFile('C:\Users\комп\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
QuarantineFile('C:\windows\system32\drivers\qrnfd_1_10_0_9.sys','');
DeleteService('qrnfd_1_10_0_9');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('C:\windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_E8D49E9E1C890B8C1BA3E3B2343D04F6');
DeleteFile('C:\Users\комп\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\комп\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
DeleteFile('C:\Users\0971~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\windows\Tasks\PennyBee.job','64');
DeleteFile('C:\windows\Tasks\Recovery Tool for Video Saver.job','64');
DeleteFile('C:\windows\Tasks\Recovery Tool for Video Saver2.job','64');
DeleteFile('C:\windows\system32\Tasks\extsetup','64');
DeleteFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
DeleteFile('C:\windows\system32\Tasks\KRB Updater Utility','64');
DeleteFile('C:\windows\system32\Tasks\nethost task','64');
DeleteFile('C:\Users\комп\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\windows\system32\Tasks\PennyBee','64');
DeleteFile('C:\windows\system32\Tasks\Recovery Tool for Video Saver','64');
DeleteFile('C:\windows\system32\Tasks\Recovery Tool for Video Saver2','64');
DeleteFile('C:\windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Users\комп\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\комп\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Users\0971~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Windows\Test.bat','');
QuarantineFile('C:\Users\комп\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
QuarantineFile('C:\windows\system32\drivers\qrnfd_1_10_0_9.sys','');
DeleteService('qrnfd_1_10_0_9');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('C:\windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_E8D49E9E1C890B8C1BA3E3B2343D04F6');
DeleteFile('C:\Users\комп\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\комп\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
DeleteFile('C:\Users\0971~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\windows\Tasks\PennyBee.job','64');
DeleteFile('C:\windows\Tasks\Recovery Tool for Video Saver.job','64');
DeleteFile('C:\windows\Tasks\Recovery Tool for Video Saver2.job','64');
DeleteFile('C:\windows\system32\Tasks\extsetup','64');
DeleteFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
DeleteFile('C:\windows\system32\Tasks\KRB Updater Utility','64');
DeleteFile('C:\windows\system32\Tasks\nethost task','64');
DeleteFile('C:\Users\комп\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\windows\system32\Tasks\PennyBee','64');
DeleteFile('C:\windows\system32\Tasks\Recovery Tool for Video Saver','64');
DeleteFile('C:\windows\system32\Tasks\Recovery Tool for Video Saver2','64');
DeleteFile('C:\windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Users\комп\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

новые логи по правилам ,это то есть обычные логи сделать да?

Ссылка на комментарий
Поделиться на другие сайты

А вы сможете расшифровать ,или вы просто вылечите?


[KLAN-2880853808]

Здравствуйте, 

Это сообщение было сгенерировано с помощью автоматической системы реагирования сообщение. Сообщение содержит информацию о приговоров, которые были возвращены Антивирусом в ответ на файлы (если таковые входят в сообщении) с последними обновлениями. 

quarantine.zip 

Этот файл поврежден. 

С наилучшими пожеланиями, Лаборатория Касперского 

"., 39А / 3 Ленинградское шоссе, Москва, 125212, Россия Тел / факс: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com " 

 

CollectionLog-2015.06.18-08.38.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2950159840-1484125915-3147161618-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
HKU\S-1-5-21-2950159840-1484125915-3147161618-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2950159840-1484125915-3147161618-1001 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2950159840-1484125915-3147161618-1001 -> {2CB5647F-0956-4868-9220-5A84B0AEB909} URL = http://websearch.ask.com/redirect?client=ie&tb=STT&o=102866&src=kw&q={searchTerms}&locale=ru_RU&apn_ptnrs=^5N&apn_dtid=^YYYYYY^YY^RU&apn_uid=4A96380E-C491-45FC-B057-C5E1DAEF730A&apn_sauid=97DBFA44-A61F-4A08-80A1-582B3B5C8937
SearchScopes: HKU\S-1-5-21-2950159840-1484125915-3147161618-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2950159840-1484125915-3147161618-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
Toolbar: HKLM - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartab64host.dll No File
Toolbar: HKU\S-1-5-21-2950159840-1484125915-3147161618-1001 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartab64host.dll No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\istartsurf.xml [2015-03-03]
OPR Extension: (Neiron Search Tools) - C:\Users\комп\AppData\Roaming\Opera Software\Opera Stable\Extensions\oehahoblpagnioelpmminjmlpnabnmok [2015-03-07]
2015-06-17 16:50 - 2015-06-17 16:50 - 03148854 _____ C:\Users\комп\AppData\Roaming\7DF46E817DF46E81.bmp
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README9.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README8.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README7.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README6.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README5.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README4.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README3.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README2.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README10.txt
2015-06-17 13:58 - 2015-06-18 08:09 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-17 13:58 - 2015-06-18 08:09 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\комп\AppData\Local\Temp\1qAhq4Yc6lbK.exe
C:\Users\комп\AppData\Local\Temp\EE475721-CA7C-41DC-AD80-1130DC058920.exe
C:\Users\комп\AppData\Local\Temp\F3D52F63-ACDD-486B-A3EB-6C9CF2DFE409.exe
C:\Users\комп\AppData\Local\Temp\int_mm_s.exe
C:\Users\комп\AppData\Local\Temp\lite_installer.exe
C:\Users\комп\AppData\Local\Temp\ms_temp.exe
C:\Users\комп\AppData\Local\Temp\nrn_tmp.exe
C:\Users\комп\AppData\Local\Temp\rambler_1402783706107.exe
C:\Users\комп\AppData\Local\Temp\RjBBPTLKyLi0.exe
C:\Users\комп\AppData\Local\Temp\rQqXt7fDCaFe.exe
C:\Users\комп\AppData\Local\Temp\ZaxarSetup.4.001.29.exe
Task: {156E9CBD-61F6-4B2E-96DF-D73D80069E41} - \Safebrowser No Task File <==== ATTENTION
Task: {2485809E-BC06-438F-ABFE-718449D0DF40} - System32\Tasks\Microsoft\Windows\D5A5AB1C-E544-4A47-A757-06C9965D0624 => C:\Program Files (x86)\Common Files\AppDownloads\D5A5AB1C-E544-4A47-A757-06C9965D0624.exe <==== ATTENTION
Task: {4A1DF696-E871-4EE9-A4B5-8EEE7D5A7A51} - \nethost task No Task File <==== ATTENTION
Task: {7CFE5D07-AD19-4BEB-9898-9296F0841F72} - System32\Tasks\Microsoft\Windows\133FA188-B347-4E73-8BCD-73B47987E3B3 => C:\Users\комп\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\133FA188-B347-4E73-8BCD-73B47987E3B3\30D11297-E855-49C3-8A08-433A842457EC.exe <==== ATTENTION
Task: {8D2C88C9-9035-440F-B478-7628336D4992} - \KRB Updater Utility No Task File <==== ATTENTION
Task: {98F1A5DE-F87C-48B6-88B0-CA51453B5CB0} - \extsetup No Task File <==== ATTENTION
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой не поможем.

 

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии

Ссылка на комментарий
Поделиться на другие сайты

 

С расшифровкой не поможем.
 
По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии

 

А вирус удален и логи чисты ,да?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...