Все файлы зашифрованы в формате XTBL

[ALEXEY20001207]

 

Все файлы зашифрованы в формате XTBL, также имеется инструкция для расшифровки:

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

18A41F714AA187DE4208|0

на электронный адрес files1147@gmail.com или post100023@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Прошу расшифровать файлы, логи я выложил,заранее спасибо))

CollectionLog-2015.06.18-00.01.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\комп\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Users\0971~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Windows\Test.bat','');
QuarantineFile('C:\Users\комп\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
QuarantineFile('C:\windows\system32\drivers\qrnfd_1_10_0_9.sys','');
DeleteService('qrnfd_1_10_0_9');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('C:\windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_E8D49E9E1C890B8C1BA3E3B2343D04F6');
DeleteFile('C:\Users\комп\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\комп\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
DeleteFile('C:\Users\0971~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\windows\Tasks\PennyBee.job','64');
DeleteFile('C:\windows\Tasks\Recovery Tool for Video Saver.job','64');
DeleteFile('C:\windows\Tasks\Recovery Tool for Video Saver2.job','64');
DeleteFile('C:\windows\system32\Tasks\extsetup','64');
DeleteFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
DeleteFile('C:\windows\system32\Tasks\KRB Updater Utility','64');
DeleteFile('C:\windows\system32\Tasks\nethost task','64');
DeleteFile('C:\Users\комп\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\windows\system32\Tasks\PennyBee','64');
DeleteFile('C:\windows\system32\Tasks\Recovery Tool for Video Saver','64');
DeleteFile('C:\windows\system32\Tasks\Recovery Tool for Video Saver2','64');
DeleteFile('C:\windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Users\комп\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[ALEXEY20001207]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\комп\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Users\0971~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Windows\Test.bat','');
QuarantineFile('C:\Users\комп\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
QuarantineFile('C:\Users\комп\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
QuarantineFile('C:\windows\system32\drivers\qrnfd_1_10_0_9.sys','');
DeleteService('qrnfd_1_10_0_9');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('C:\windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_E8D49E9E1C890B8C1BA3E3B2343D04F6');
DeleteFile('C:\Users\комп\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\комп\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
DeleteFile('C:\Users\0971~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\windows\Tasks\PennyBee.job','64');
DeleteFile('C:\windows\Tasks\Recovery Tool for Video Saver.job','64');
DeleteFile('C:\windows\Tasks\Recovery Tool for Video Saver2.job','64');
DeleteFile('C:\windows\system32\Tasks\extsetup','64');
DeleteFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
DeleteFile('C:\windows\system32\Tasks\KRB Updater Utility','64');
DeleteFile('C:\windows\system32\Tasks\nethost task','64');
DeleteFile('C:\Users\комп\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\windows\system32\Tasks\PennyBee','64');
DeleteFile('C:\windows\system32\Tasks\Recovery Tool for Video Saver','64');
DeleteFile('C:\windows\system32\Tasks\Recovery Tool for Video Saver2','64');
DeleteFile('C:\windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Users\комп\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Users\комп\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

новые логи по правилам ,это то есть обычные логи сделать да?

[thyrex]

Именно так

[ALEXEY20001207]

А вы сможете расшифровать ,или вы просто вылечите?

[KLAN-2880853808]

Здравствуйте, 

Это сообщение было сгенерировано с помощью автоматической системы реагирования сообщение. Сообщение содержит информацию о приговоров, которые были возвращены Антивирусом в ответ на файлы (если таковые входят в сообщении) с последними обновлениями. 

quarantine.zip 

Этот файл поврежден. 

С наилучшими пожеланиями, Лаборатория Касперского 

"., 39А / 3 Ленинградское шоссе, Москва, 125212, Россия Тел / факс: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com " 

 

CollectionLog-2015.06.18-08.38.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[ALEXEY20001207]

Сделал всё как вы сказали.

FRST.txt

Addition.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2950159840-1484125915-3147161618-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
HKU\S-1-5-21-2950159840-1484125915-3147161618-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2950159840-1484125915-3147161618-1001 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2950159840-1484125915-3147161618-1001 -> {2CB5647F-0956-4868-9220-5A84B0AEB909} URL = http://websearch.ask.com/redirect?client=ie&tb=STT&o=102866&src=kw&q={searchTerms}&locale=ru_RU&apn_ptnrs=^5N&apn_dtid=^YYYYYY^YY^RU&apn_uid=4A96380E-C491-45FC-B057-C5E1DAEF730A&apn_sauid=97DBFA44-A61F-4A08-80A1-582B3B5C8937
SearchScopes: HKU\S-1-5-21-2950159840-1484125915-3147161618-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425380313&from=face&uid=HITACHIXHTS543232A7A384_E2034233GJL4UDGJL4UDX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2950159840-1484125915-3147161618-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
Toolbar: HKLM - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartab64host.dll No File
Toolbar: HKU\S-1-5-21-2950159840-1484125915-3147161618-1001 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartab64host.dll No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\istartsurf.xml [2015-03-03]
OPR Extension: (Neiron Search Tools) - C:\Users\комп\AppData\Roaming\Opera Software\Opera Stable\Extensions\oehahoblpagnioelpmminjmlpnabnmok [2015-03-07]
2015-06-17 16:50 - 2015-06-17 16:50 - 03148854 _____ C:\Users\комп\AppData\Roaming\7DF46E817DF46E81.bmp
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README9.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README8.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README7.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README6.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README5.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README4.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README3.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README2.txt
2015-06-17 16:50 - 2015-06-17 16:50 - 00000893 _____ C:\Users\комп\Desktop\README10.txt
2015-06-17 13:58 - 2015-06-18 08:09 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-17 13:58 - 2015-06-18 08:09 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\комп\AppData\Local\Temp\1qAhq4Yc6lbK.exe
C:\Users\комп\AppData\Local\Temp\EE475721-CA7C-41DC-AD80-1130DC058920.exe
C:\Users\комп\AppData\Local\Temp\F3D52F63-ACDD-486B-A3EB-6C9CF2DFE409.exe
C:\Users\комп\AppData\Local\Temp\int_mm_s.exe
C:\Users\комп\AppData\Local\Temp\lite_installer.exe
C:\Users\комп\AppData\Local\Temp\ms_temp.exe
C:\Users\комп\AppData\Local\Temp\nrn_tmp.exe
C:\Users\комп\AppData\Local\Temp\rambler_1402783706107.exe
C:\Users\комп\AppData\Local\Temp\RjBBPTLKyLi0.exe
C:\Users\комп\AppData\Local\Temp\rQqXt7fDCaFe.exe
C:\Users\комп\AppData\Local\Temp\ZaxarSetup.4.001.29.exe
Task: {156E9CBD-61F6-4B2E-96DF-D73D80069E41} - \Safebrowser No Task File <==== ATTENTION
Task: {2485809E-BC06-438F-ABFE-718449D0DF40} - System32\Tasks\Microsoft\Windows\D5A5AB1C-E544-4A47-A757-06C9965D0624 => C:\Program Files (x86)\Common Files\AppDownloads\D5A5AB1C-E544-4A47-A757-06C9965D0624.exe <==== ATTENTION
Task: {4A1DF696-E871-4EE9-A4B5-8EEE7D5A7A51} - \nethost task No Task File <==== ATTENTION
Task: {7CFE5D07-AD19-4BEB-9898-9296F0841F72} - System32\Tasks\Microsoft\Windows\133FA188-B347-4E73-8BCD-73B47987E3B3 => C:\Users\комп\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\133FA188-B347-4E73-8BCD-73B47987E3B3\30D11297-E855-49C3-8A08-433A842457EC.exe <==== ATTENTION
Task: {8D2C88C9-9035-440F-B478-7628336D4992} - \KRB Updater Utility No Task File <==== ATTENTION
Task: {98F1A5DE-F87C-48B6-88B0-CA51453B5CB0} - \extsetup No Task File <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[ALEXEY20001207]

Сделал как сказали ,вот fixlog.

Fixlog.txt

[thyrex]

С расшифровкой не поможем.

 

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии

[ALEXEY20001207]

 

С расшифровкой не поможем.

 

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии

 

А вирус удален и логи чисты ,да?

[thyrex]

Логи в порядке, вирус удален

[ALEXEY20001207]

Спасибо.