Зашифрованы файлы вирусом ssleas.exe (расширение файлов .xtbl)

[VladGuardian]

Приветствую!
На ноутбуке появилась проблема - ЧЕРНЫЙ рабочий стол и надпись КРАСНЫМИ буквами:
"ВНИМАНИЕ! Все важные файлы на всех дисках вашего компьютера были зашифрованы." + то же на английском.

 

Файлы зашифрованы с расширением .xtbl и на рабочем столе 10 файлов readme в которых написано:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
5EEDE7BB11F1AA329C64|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
5EEDE7BB11F1AA329C64|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Прошу вашей помощи, файлы на компьютере достаточно важны, чтобы ими жертвовать, снося всю систему.

На зараженном компьютере мной проделано:
1. Проверка с помощью Kaspersky Virus Removal Tool 15.0.19.0 (и второй раз после обязательной перезагрузки)
(Касперский удалил 5 угроз, после перезагрузки все было чисто)
2. Проверка с помощью Dr.Web CurIt! (версия от 22.05.2015)
(Доктор Веб ничего не обнаружил)
3. Собраны логи при помощи AutoLogger.exe 1.0.2.2.

CollectionLog-2015.06.22-21.53.zip

Изменено 22 июня, 2015 пользователем VladGuardian

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\vlad\appdata\roaming\cppredistx86.exe');
QuarantineFile('c:\users\vlad\appdata\roaming\cppredistx86.exe','');
DeleteFile('c:\users\vlad\appdata\roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[VladGuardian]

1. Выполнил оба скрипта (второй - после перезагрузки)

2. Отправил файл c:\quarantine.zip на указанный адрес. (от себя скажу, что архив совершенно пустой и весит всего 22 БАЙТА)

Пришел ответ: KLAN-2892537515  "Этот файл повреждён."

3. Прикрепляю новый лог:

CollectionLog-2015.06.23-00.52.zip

Изменено 22 июня, 2015 пользователем VladGuardian

[thyrex]

AVZ перед выполнением скрипта из сообщения №2 запускали от имени Администратора по правой кнопке мыши? Если нет, переделать

[VladGuardian]

запускали от имени Администратора?... Если нет, переделать

Вроде бы из-под Администратора... хотя не уверен на все 100%

Тем не менее, переделал, оба скрипта запущены в режиме админа.

 

Ответ Касперского:

cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xwp

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

[KLAN-2899096667]

Изменено 23 июня, 2015 пользователем VladGuardian

[thyrex]

Тогда где новые логи после переделки?

[VladGuardian]

Тогда где новые логи после переделки?

Прикладываю:

CollectionLog-2015.06.24-07.08.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[VladGuardian]

FRST (64-битной версии) запущена в режиме администратора. (флажки "List BCD" и "Drivers MD5" установлены)

FRST.txt

Addition.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
2015-06-22 18:59 - 2015-06-22 18:59 - 03148854 _____ C:\Users\VLAD\AppData\Roaming\950CC82B950CC82B.bmp
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README9.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README8.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README7.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README6.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README5.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README4.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README3.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README2.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README10.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README1.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-06-22 00:22 - 2015-06-22 20:59 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-22 00:22 - 2015-06-22 20:59 - 00000000 __SHD C:\ProgramData\Windows
Task: {AA5FC3AF-A643-4CF6-90AD-33BD7C472B25} - \Steam_x64-S-2-106-91 No Task File <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[VladGuardian]

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Fixlog.txt

[thyrex]

Мусор почистили.

 

С расшифровкой не поможем.

 

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии

[VladGuardian]

Спасибо за помощь!

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии

Какой ваш продукт я должен приобрести из вашей линейки (из антивирусов), чтобы получить такую помощь?

(живу в Украине)

Если вы не оказываете дальнейшую помощь (по расшифровке), в какой форум я должен переместиться?

Изменено 25 июня, 2015 пользователем VladGuardian