Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

 

На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков.

А все файлы зашифровались с расширением.xtbl,

например вот: Rww42Mlfn6XzWbU6iwOkOFHsUuWxmqxN2KO+IAwWRi3F58g27fDfIWUy9yLMfYiE.xtbl

 

В многочисленных текстовиках созданных вирусом пишется вот это:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
F933440001EAC70D05F7|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
F933440001EAC70D05F7|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Что мне делать в этой ситуации?? 
Заранее огромное спасибо

CollectionLog-2015.06.21-03.39.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
DelBHO('{57FC7EA7-2F0D-4F3E-89BB-A1651B3F39AA}');
QuarantineFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','');
QuarantineFile('C:\Users\1\AppData\Local\Mail.ru\Sputnik\ptls\8em7nnUwhFhZ.exe','');
QuarantineFile('C:\Users\1\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe','32');
DeleteFile('C:\Users\1\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
DeleteFile('C:\Users\1\AppData\Local\Mail.ru\Sputnik\ptls\8em7nnUwhFhZ.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8em7nnUwhFhZ');
DeleteFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','32');
DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DF075915CB4A1B3562.TMP','32');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DF206B0C23442E50F8.TMP','32');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DF484186DE548AEB32.TMP','32');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DF59FD5051EA03F71B.TMP','32');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DF860816310DEEF1B5.TMP','32');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DFA6E4F5AA047398A0.TMP','32');
DeleteFile('C:\Users\1\AppData\Local\Temp\~DFF6C9A98DB3051C1B.TMP','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

Вот ответ на сообщение 

[KLAN-2889566680

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

Ссылка на комментарий
Поделиться на другие сайты

а как их создать? где правила можно найти?

Разобрался, точнее вспомнил, сейчас все сделаю

Изменено пользователем werter
Ссылка на комментарий
Поделиться на другие сайты

  • 3 weeks later...

наконец-то сделал, то, что вы просили
Вот те самое полное сканирование
пока ничего не удалял
удалять ли мне что-либо?

логи.txt

Изменено пользователем werter
Ссылка на комментарий
Поделиться на другие сайты

Удалите в МВАМ все, кроме

RiskWare.Tool.CK, C:\Users\1\Desktop\CS4_RU\Keygen\keygen.exe, , [75c84b986f1b51e551ad48b6e31e7d83], 
Trojan.Dropped, C:\Users\1\Desktop\?????????°\I386\SVCPACK\RESPATCH.EXE, , [15283ca7860437fff1b506cf659c966a], 
Trojan.Ransom.ED, C:\Users\1\Downloads\Windows_XP_WinToFlash_2013-spaces.ru.exe, , [ed50b42faae095a1e4236d03659c39c7], 
PUP.Optional.Bunndle, C:\Users\1\Downloads\urkad1 mou jeny 2014 l web-dlrip 1400mb avi.exe, , [d865a83b25650d29c8c072cd9f61ae52], 
Trojan.Dropped, C:\Users\1\Downloads\?????????°\I386\SVCPACK\RESPATCH.EXE, , [1a23d310b7d3a195d3d3d6ff7b86ad53], 
Trojan.Ransom.ED, C:\Users\1\Downloads\?????????°\Windows_XP_WinToFlash_2013\WinToFlash (?±???»?µ?µ ???????°N? ???µN?N???N?)\ValueAdd\3rdParty\simplix\AntiSMS.exe, , [80bd5c872c5e1d19c04793dd9a673dc3], 
PUP.Wpakill, C:\Users\1\Downloads\?????????° 2\Windows_XP_x64_by_Asp.Net\$OEM$\WPA\ANTIWPA.DLL, , [b5880ed54743e74f36af063c3cc9b848], 
Trojan.Ransom.ED, C:\Users\1\Downloads\Windows_XP_WinToFlash_2013\WinToFlash (?±???»?µ?µ ???????°N? ???µN?N???N?)\ValueAdd\3rdParty\simplix\AntiSMS.exe, , [41fc776ce8a20f279b6ced837c85ef11],
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1767382441-4107314503-467731081-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1767382441-4107314503-467731081-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1767382441-4107314503-467731081-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: SocialLife for Firefox™ - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\mz6vrq80.default\Extensions\extension@sl.dev.xpi [2015-06-18]
FF Extension: No Name - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\mz6vrq80.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-branding.js [2010-10-06]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox-l10n.js [2010-10-06]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\firefox.js [2010-10-06]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\reporter.js [2010-10-06]
CHR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-06-21]
CHR HKLM-x32\...\Chrome\Extension: [bfdlbgbpgjichdjjmkdcpagfggicjfom] - C:\Program Files (x86)\Аудио и видео скачивание\avdownloader-sk.crx [Not Found]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\aapcjgafljhokjfbeebpiddfjpjjcdem [2015-02-21]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-06-08]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2015-02-12]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-05-27]
C:\Users\1\AppData\Local\Temp\1PVIYdDWlRj1.exe
C:\Users\1\AppData\Local\Temp\4B7F10373F983118.exe
C:\Users\1\AppData\Local\Temp\56BCD44C198FD981.exe
C:\Users\1\AppData\Local\Temp\811D97D186E3776.exe
C:\Users\1\AppData\Local\Temp\8806478A795B11B7.exe
C:\Users\1\AppData\Local\Temp\8em7nnUwhFhZ.exe
C:\Users\1\AppData\Local\Temp\amigo_setup.exe
C:\Users\1\AppData\Local\Temp\ap3tq0fb.dll
C:\Users\1\AppData\Local\Temp\bAlB1lQLpgNo.exe
C:\Users\1\AppData\Local\Temp\contentDATs.exe
C:\Users\1\AppData\Local\Temp\dhXwYx7aUzrt.exe
C:\Users\1\AppData\Local\Temp\htPTM7GeOeTj.exe
C:\Users\1\AppData\Local\Temp\IFSXCn6CwW2n.exe
C:\Users\1\AppData\Local\Temp\SF0V1dgma4zg.exe
C:\Users\1\AppData\Local\Temp\SkypeSetup.exe
C:\Users\1\AppData\Local\Temp\toolbar244187428.exe
C:\Users\1\AppData\Local\Temp\toolbar62957838.exe
C:\Users\1\AppData\Local\Temp\Vl8p1YT2lieH.exe
Task: {1CF35626-6AF5-4C49-A907-2A8309B31450} - \Microsoft\Windows\extsetup No Task File <==== ATTENTION
Task: {66703D95-A4D1-4D49-BF8A-A97340D62488} - \extsetup No Task File <==== ATTENTION
Task: {6FC13297-54AE-4407-A794-B1BD86C16494} - System32\Tasks\Express Files Updater => C:\Program Files (x86)\ExpressFiles\EFupdater.exe [2012-03-19] (http://www.express-files.com/) <==== ATTENTION
Task: {9230918B-19F1-499F-96DE-E8B39A3073FA} - \chrome5 No Task File <==== ATTENTION
Task: {C8FB4129-A063-46DB-8638-37A306DEC496} - \Safebrowser No Task File <==== ATTENTION
Task: {CFD03A93-26D3-4B90-BCD2-0D11DC81F0B6} - \chrome5_logon No Task File <==== ATTENTION
Task: {E6C3EBAE-AF83-45C5-B27F-9B9D1B278E8F} - \Kbupdater Utility No Task File <==== ATTENTION
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • litis
    • KoHack
      От KoHack
      Срочно нужен дескриптор как в теме https://forum.kasperskyclub.ru/topic/80828-resheno-securemilleni5000qqcom/page/3/
      Помтгите пожалуйста, ключ есть, нужна сама прога, очень важно, вопрос жизни и смерти... 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из "Правила раздела и ответы на частые вопросы".
    • Николай Аверов
      От Николай Аверов
      Добрый день!
      Вчера с утра у сотрудницы при запуске компьютера почти все пользовательские файлы были зашифрованы и добавлено расширение .mscrypt.
      При этом в каждой папке имеется письмо-вымогательство PaxyHok.html (2500 грн. просят).
      Антивира у нее, увы, не было, где и что скачала-подцепила - не знает, не помнит.
      Прогнал проверку Kaspersky Virus Removal Tool 2015 нашел несколько вирусов, в том числе трояна в оперативке.
      Прогнал  AutoLogger.exe , лог прикладываю, согласно Вашей инструкции.
       
      Прошу помочь, т.к. не "фотки с моря", а куча нужной рабочей информации. Спасибо.

      Забыл добавить: вчера перепробовал несколько самых обновленных декрипторов - ни один ничего не сделал.
      CollectionLog-2017.06.23-09.51.zip
    • АннаЛандес
      От АннаЛандес
      Здравствуйте!
      Прошу помощи. Одна надежда на вас; ни одна утилита с оффициального сайта Касперского не подходит..
      Зашифровались все важные для меня файлы на всех дисках рабочего офисного компьютера, а именно документы,фото, видео, картинки, видео и прочее..программы налогоплательщик, пу5, пу6 работают
       
      На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)
      А все файлы зашифровались в белиберду с расширением.xtbl,
      например вот: 0dvwbZj7umdBJMKu8yVNeJp9thg4CygWPkIf6Njljm72SeoJoWzpljyBiyfGEf0H.7B05ECA212BD08B7419D.better_call_saul
       
      В многочисленных текстовиках созданных вирусом пишется вот это:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 7B05ECA212BD08B7419D|0 на электронный адрес Rufinian.Valichitskiy@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае их изменения расшифровка станет невозможной ни при каких условиях. Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!), воспользуйтесь резервным адресом. Его можно узнать двумя способами: 1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en В адресной строке Tor Browser-а введите адрес: http://cryptorzimsbfbkx.onion/ и нажмите Enter. Загрузится страница с резервными email-адресами. 2) В любом браузере перейдите по одному из адресов: http://cryptorzimsbfbkx.onion.to/ http://cryptorzimsbfbkx.onion.cab/     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 7B05ECA212BD08B7419D|0 to e-mail address Rufinian.Valichitskiy@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the reserve email. You can get it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptorzimsbfbkx.onion/ Press Enter and then the page with reserve emails will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptorzimsbfbkx.onion.to/ http://cryptorzimsbfbkx.onion.cab

      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      82C551F386DC56F5EF49|0
      to e-mail address deshifrovka01@gmail.com or deshifrovka@india.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      Далее:
      Руфиниан Вальчицкий rufinian.valichitskiy@gmail.com Стоимость дешифровки 20000р. Пришлите 1 файл(бесплатно расшифровываю 1 файл весом до 10 мб,не содержащий важной информации, только для того чтобы вы смогли опознать, что это ваш файл,  никаких отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться не будет и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены). В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было.  Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь.  
      Если что-то ещё надо, только скажите./случайно прикрепила последний ненужный скрин/
      Очень жду вашей помощи.
      Заранее огромное спасибо. Анна.
      Прикрепленные файлы CollectionLog-2016.04.13-16.53.zip



    • rbcfvehvze
      От rbcfvehvze
      Файлы зашифрованы и переименованы в moshiax@aol.com
      http://rghost.ru/7hZgmxHL7
       
      http://rghost.ru/7rHT7qf9W
       
      посадил дед р е п к у вышел репка и убил дедку на moshiax@mail.ua
×
×
  • Создать...