Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Приветствую!
На ноутбуке появилась проблема - ЧЕРНЫЙ рабочий стол и надпись КРАСНЫМИ буквами:
"ВНИМАНИЕ! Все важные файлы на всех дисках вашего компьютера были зашифрованы." + то же на английском.

 

Файлы зашифрованы с расширением .xtbl и на рабочем столе 10 файлов readme в которых написано:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
5EEDE7BB11F1AA329C64|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
5EEDE7BB11F1AA329C64|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.


Прошу вашей помощи, файлы на компьютере достаточно важны, чтобы ими жертвовать, снося всю систему.

На зараженном компьютере мной проделано:
1. Проверка с помощью Kaspersky Virus Removal Tool 15.0.19.0 (и второй раз после обязательной перезагрузки)
(Касперский удалил 5 угроз, после перезагрузки все было чисто)
2. Проверка с помощью Dr.Web CurIt! (версия от 22.05.2015)
(Доктор Веб ничего не обнаружил)
3. Собраны логи при помощи AutoLogger.exe 1.0.2.2.

CollectionLog-2015.06.22-21.53.zip

Изменено пользователем VladGuardian
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\vlad\appdata\roaming\cppredistx86.exe');
QuarantineFile('c:\users\vlad\appdata\roaming\cppredistx86.exe','');
DeleteFile('c:\users\vlad\appdata\roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Опубликовано (изменено)

1. Выполнил оба скрипта (второй - после перезагрузки)

2. Отправил файл c:\quarantine.zip на указанный адрес. (от себя скажу, что архив совершенно пустой и весит всего 22 БАЙТА)

Пришел ответ: KLAN-2892537515  "Этот файл повреждён."

3. Прикрепляю новый лог:

CollectionLog-2015.06.23-00.52.zip

Изменено пользователем VladGuardian
Опубликовано

AVZ перед выполнением скрипта из сообщения №2 запускали от имени Администратора по правой кнопке мыши? Если нет, переделать

Опубликовано (изменено)
запускали от имени Администратора?... Если нет, переделать

Вроде бы из-под Администратора... хотя не уверен на все 100%

Тем не менее, переделал, оба скрипта запущены в режиме админа.

 

Ответ Касперского:

cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xwp

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

[KLAN-2899096667]

Изменено пользователем VladGuardian
Опубликовано

Тогда где новые логи после переделки?

Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Опубликовано

FRST (64-битной версии) запущена в режиме администратора. (флажки "List BCD" и "Drivers MD5" установлены)

FRST.txt

Addition.txt

Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
2015-06-22 18:59 - 2015-06-22 18:59 - 03148854 _____ C:\Users\VLAD\AppData\Roaming\950CC82B950CC82B.bmp
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README9.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README8.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README7.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README6.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README5.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README4.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README3.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README2.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README10.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\VLAD\Desktop\README1.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-06-22 18:49 - 2015-06-22 18:49 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-06-22 00:22 - 2015-06-22 20:59 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-22 00:22 - 2015-06-22 20:59 - 00000000 __SHD C:\ProgramData\Windows
Task: {AA5FC3AF-A643-4CF6-90AD-33BD7C472B25} - \Steam_x64-S-2-106-91 No Task File <==== ATTENTION
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Опубликовано
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Fixlog.txt

Опубликовано

Мусор почистили.

 

С расшифровкой не поможем.

 

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии

Опубликовано (изменено)

Спасибо за помощь!

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии

Какой ваш продукт я должен приобрести из вашей линейки (из антивирусов), чтобы получить такую помощь?

(живу в Украине)

Если вы не оказываете дальнейшую помощь (по расшифровке), в какой форум я должен переместиться?

Изменено пользователем VladGuardian

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • EnergoPartner
      Автор EnergoPartner
      Добрый день.
       
      После запуска вложений из письма были шифрованы файлы в расширение XTBL.
      В каждой папке появился файл readme.txt.
      Возможно ли их расшифровать?
       
      Файл логов прилагается.
       
      CollectionLog-2015.11.09-15.36.zip
    • bnmuser
      Автор bnmuser
      После действия вируса все пользовательские файлы зашифровались с разрешением XTBL
      Можно ли их расшифровать.
      Спасибо.
    • SCHILL
      Автор SCHILL
      Здравствуйте, 05.11.2015 поймал такой-же вирус, присланный на почту, имею лицензию Касперский интернет секьюрити. Вируса в компе нет. Есть дешифратор для данного вируса?
    • aerihov
      Автор aerihov
      Все фото зашифрованы... может вы что подскажите
      CollectionLog-2015.11.05-02.57.zip
    • vicnh
      Автор vicnh
      Доброго времени суток

      Все файлы зашифрованы с расширением xtbl.

      Касперский для Windows Workstation (корпоративная версия, лицензия) вируов не обнаружил.

      Kaspersky VRT нашел cnxExt.dll.

      Я нашел в реестре в ключе пользователя Run подозрительный файл

      "C:\ProgramData\Windows\csrss___1.exe" (добавил к названию ___1 чтоб не запускался).

      Этот файл сидит в папках (см. скрин во вложении)

      Нужна Ваша помощь в расшифровке и защите ПК сети. Лог AVZ на скрепке

      Спасибо
      CollectionLog-2015.10.15-21.42.zip
      report1.log
      report2.log
×
×
  • Создать...