Перейти к содержанию

Все фото и видео файлы зашифрованы. Расширение .xtbl

Magesty
 Share Подписчики 0

Рекомендуемые сообщения

Magesty

Magesty 0

Опубликовано
Опубликовано (изменено)
Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

88D5B04148F8D6746D0A|0

на электронный адрес decoder1112@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

Имеющиеся на сайте Касперского утилиты не помогли.

 

Прошу рассмотреть возможность оказания помощи в восстановлении семейного фото- и видео- архивов.

 

Спасибо.

CollectionLog-2015.06.25-10.05.zip

Изменено пользователем Magesty
Ссылка на сообщение
Поделиться на другие сайты
Magesty

Magesty 0

Опубликовано
  • Автор
Опубликовано

Логи переделайте обычной, а не полиморфной версией Autologger

Переделал (хотя в инструкции сказано, что можно делать и "специальной версией")..

Скачал Farbar Recovery Scan Tool. Сохранил на Рабочем столе. Прогнал Scan с рекомендуемыми вами параметрами.

Результат во вложении.

CollectionLog-2015.06.30-11.58.zip

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Специальная версия только для спецслучаев.

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\6FC3~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
SetServiceStart('BDArKit', 4);
DeleteService('BDArKit');
SetServiceStart('bd0002', 4);
DeleteService('bd0002');
QuarantineFile('C:\windows\system32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys','');
TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\bdaleakfixer.exe');
TerminateProcessByName('C:\Program Files (x86)\baidu\BaiduSd\1.8.0.1255\BaiduSdUProxy64.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdtray.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdsvc.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduantray.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduansvc.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduan.exe');
DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduan.exe','32');
DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduansvc.exe','32');
DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduantray.exe','32');
DeleteFile('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdsvc.exe','32');
DeleteFile('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdtray.exe','32');
DeleteFile('C:\Program Files (x86)\baidu\BaiduSd\1.8.0.1255\BaiduSdUProxy64.exe','32');
DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\bdaleakfixer.exe','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\ad.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\BDKitUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\BDMAVEng.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\bduf.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\TrustAndIso.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMCommon.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMMainframe.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMReport.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMScriptVM.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMSWNestCore.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMSWParseDetect.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMWindowsLib.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\DriverManager.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\EnhanceBoost.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMNetMonMgrDll.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMProcessRunningTime.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMSOLiveAccDataMgr.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMSOLiveAccEngine.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMSOLiveAccStrategyMgr.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\SysAccMgrDll.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\SYSCleaner.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSysFixer\SysFixer.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\GCCallbackBind.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\GCScriptBind.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmmainframeplugins\BDMSafePlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmmainframeplugins\BDMSWManagerFrame.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMPatcherPlugins\BDMConnect.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMPatcherPlugins\BDMPatcher.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmsafeplugins\BDMKVMainPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMSafePlugins\BDMPatcherPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmsafeplugins\BDMSysFixerPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMSOManagerPlugins\BDMSOAcceleratorPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMSOManagerPlugins\BDMSOCleanerPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\bdmsusplugins\BDMNetMonSusPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\bdmsusplugins\BDMSOAccSusPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmtrayplugins\BDMSOAccTrayPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmtrayplugins\BDMSOCleanerTrayPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMTrayPlugins\BDMSusPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmtrayplugins\BDMTrayTipsPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\RTPPlugins\BDMSOAccServicePlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\RTPPlugins\HIPS.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\ad.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDKitUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMAVCached.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMAVEng.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMPerfMon.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDUDiskGuard.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\bduf.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\TrustAndIso.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BDMAVE.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\DriverManager.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\plugins\bdkvrtpplugins\FileMon.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\plugins\bdkvrtpplugins\HIPS.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\plugins\bdkvrtpplugins\PrivacyProtect.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\Plugins\bdkvtrayplugins\BDDownLoadProtectPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\Plugins\bdkvtrayplugins\BDKVRmvDevPlugin.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\Plugins\bdkvtrayplugins\BDKVTrayTipsPlugin.dll','32');
DeleteFile('C:\windows\system32\DRIVERS\bd0002.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\BDArKit.sys','32');
DeleteFile('C:\windows\system32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AnyProtect');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe','32');
DeleteFile('C:\Program Files\BaiduEx\uninit.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x64');
DeleteFile('C:\Users\6FC3~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\windows\Tasks\Digital Sites.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте НОВЫЕ логи ПО ПРАВИЛАМ

Ссылка на сообщение
Поделиться на другие сайты
Magesty

Magesty 0

Опубликовано
  • Автор
Опубликовано

Отправил.

 

Ответ: Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

[KLAN-2931680603]

 

Новые логи приложены.

 


Еще один ответ:

"

[KLAN-2931680603]

Это файл от рекламной системы, файл порнографического характера или потенциально опасное программное обеспечение. Детектирование будет включено в очередное обновление антивирусных баз.

{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys_ -       not-a-virus:NetTool.Win64.NetFilter.j 
 
С уважением, 
Будкина Анна | Младший вирусный аналитик | ЗАО "Лаборатория Касперского"

CollectionLog-2015.06.30-15.08.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-3102738836-3127478194-571303593-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-3102738836-3127478194-571303593-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3102738836-3127478194-571303593-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: Desktopy - C:\Users\Артём Демачёв\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2013-10-13]
FF Extension: SuperMegaBest.com - C:\Users\Артём Демачёв\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-07-30]
FF HKLM-x32\...\Firefox\Extensions: [xz123@ya456.com] - C:\Program Files (x86)\BetterSurf\ff
FF Extension: BetterSurf - C:\Program Files (x86)\BetterSurf\ff [2013-11-20]
FF HKLM-x32\...\Firefox\Extensions: [12x3q4@3244516.com] - C:\Program Files (x86)\Better-Surf\ff
FF Extension: Better-Surf - C:\Program Files (x86)\Better-Surf\ff [2013-11-29]
FF HKLM-x32\...\Firefox\Extensions: [ext@bettersurfplus.com] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ff
FF Extension: Better Surf Plus - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ff [2013-12-10]
FF HKLM-x32\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha234.net] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha234\ff
FF Extension: Webexp Enhanced - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha234\ff [2013-12-21]
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaPlayerV1alpha872.net] - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha872\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewerV1alpha1178.net] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1178\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha3201.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3201\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha5836.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha5836\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home3720.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home3720\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaBuzzV1mode7988.net] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode7988\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release1087.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release1087\ff
FF HKLM-x32\...\Firefox\Extensions: [ext@TrustMediaViewerV1alpha3843.net] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha3843\ff
FF Extension: No Name - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode7988\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha872\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home3720\ff [not found]
CHR HKU\S-1-5-21-3102738836-3127478194-571303593-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [aijepembefkcbffniibfooclhgdjccne] - C:\Users\Артём Демачёв\AppData\Local\CRE\aijepembefkcbffniibfooclhgdjccne.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [aijepembefkcbffniibfooclhgdjccne] - C:\Users\Артём Демачёв\AppData\Local\CRE\aijepembefkcbffniibfooclhgdjccne.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [dedmngkbaffkenlfdcbganndoghblmap] - C:\Program Files (x86)\BetterSurf\ch\Chrome.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [denpiiiedjlmagnimpdanflejkhooncl] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release1087\ch\RichMediaViewV1release1087.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [efbhmahmelhfcfiliiaghohkiigpnnod] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha5836\ch\MediaViewV1alpha5836.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [gecjakbpjhphikafgbchpeejlnlmfdhm] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha3843\ch\TrustMediaViewerV1alpha3843.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [gfkehgepngpdbaddpoahbefieapdoooc] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3201\ch\MediaViewV1alpha3201.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [hfhopiiohjeeeakiaciclllmkjogibhm] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1178\ch\MediaViewerV1alpha1178.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [idccbniecdgdnfdnjcmmlbhfnfpmagkg] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode7988\ch\MediaBuzzV1mode7988.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [kmnnbgkjnlcijimmlkeplolkmjhdgknn] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha234\ch\WebexpEnhancedV1alpha234.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [mmifolfpllfdhilecpdpmemhelmanajl] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ch\BetterSurfPlus.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Артём Демачёв\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [phcmaohhipoookajnfaeajpjjgofgkbh] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home3720\ch\MediaWatchV1home3720.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [poheodfamflhhhdcmjfeggbgigeefaco] - C:\Program Files (x86)\Better-Surf\ch\Chrome.crx [Not Found]
OPR Extension: (Ultimate Discounter) - C:\Users\Артём Демачёв\AppData\Roaming\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-15]
2015-06-24 19:33 - 2015-02-27 21:07 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-24 19:33 - 2015-02-27 21:07 - 00000000 __SHD C:\ProgramData\Windows
2015-06-24 19:33 - 2014-10-15 22:43 - 00000000 ____D C:\Program Files (x86)\BaiduEx
2015-06-24 19:20 - 2015-03-03 15:43 - 00000000 ___HD C:\Users\Артём Демачёв\AppData\Roaming\CA1D2112
2015-06-24 19:20 - 2014-12-23 01:04 - 00000000 ____D C:\Users\Артём Демачёв\AppData\Roaming\x13
2015-06-24 19:20 - 2014-11-13 19:42 - 00000000 ____D C:\Program Files (x86)\baidu
2015-06-24 19:20 - 2014-09-23 09:04 - 00000000 ____D C:\Users\Артём Демачёв\AppData\Local\29539
2015-06-24 19:20 - 2014-07-26 11:12 - 00000000 ____D C:\Users\Артём Демачёв\AppData\Roaming\x11
2015-06-24 19:20 - 2013-10-13 16:38 - 00000000 ____D C:\Users\Артём Демачёв\AppData\Local\SwvUpdater
2015-03-03 23:20 - 2015-03-03 23:20 - 3148854 _____ () C:\Users\Артём Демачёв\AppData\Roaming\31A92DD731A92DD7.bmp
2015-01-12 08:39 - 2015-01-19 02:06 - 0442896 _____ () C:\Users\Артём Демачёв\AppData\Roaming\data13.dat
C:\Users\Артём Демачёв\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Артём Демачёв\AppData\Local\Temp\GOv1VcqoJ6Gf.exe
C:\Users\Артём Демачёв\AppData\Local\Temp\ux1.exe
C:\Users\Артём Демачёв\AppData\Local\Temp\xo1.exe
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [160080 2014-07-21] (Baidu)
R1 bd0003; C:\Windows\System32\DRIVERS\bd0003.sys [64840 2014-07-21] (Baidu)
R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys [61072 2014-09-12] (StdLib)
Task: {542211B3-05E1-46B2-8D10-0849A05D3DEE} - \DSite No Task File <==== ATTENTION

Task: {DDB64E56-AF6D-43F6-9E3B-F01D5F046165} - \BackgroundContainer Startup Task No Task File <==== ATTENTION

FirewallRules: [{16F839B6-445E-4F63-933A-527D99219618}] => (Allow) C:\program files (x86)\common files\baidu\bddownload\107\bddownloader.exe
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты
Magesty

Magesty 0

Опубликовано
  • Автор
Опубликовано

Да уж обратился.. параллельно.

Спасибо за "совет".

 

А смысл тогда в Вашем участии?

Судя по количество "вылеченных" в этой ветке остается только предположение - полюбопытствовать, что у народа в компьютерах имеется.

Функцию Farbar Recovery Scan Tool (по-моему скромному мнению) не хуже выполнит стандартный сканер от Касперского + какая-нибудь CCleaner.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

А смысл тогда в Вашем участии?

Этот раздел предназначен для избавления от следов разного рода вирусов. А зачастую - и предотвращения их действий, т.к. у пострадавших зачастую они еще и в активном состоянии. Это наша основная задача. Мы нигде в правилах раздела не заявляем о расшифровке. Просто сегодняшние реалии таковы, что шифровальщики вышли на устойчивое первое место среди всех зверьков.

 

Нам совершенно неинтересно содержимое чужих компьютеров. Никакой ценной информации логи не содержат.

 

А потому сарказм Ваш неуместен. Изливайте его в техподдержку

Ссылка на сообщение
Поделиться на другие сайты
Magesty

Magesty 0

Опубликовано
  • Автор
Опубликовано

Фенита ля комедия..  :sorry: 

 

"Здравствуйте!

К сожалению, в данном случае мы вряд ли Вам сможем помочь, так как продукт был установлен уже после шифрования.

В последнее время мы часто получаем запросы, связанные с действиями программ-шифровальщиков.
Некоторые вредоносные программы-шифровальщики используют технологии шифрования с помощью открытого ключа. Сама по себе эта технология является надежным способом защищенного обмена важными сведениями, однако злоумышленники используют её во вред. Они создают программы, которые, попав в компьютер, шифруют данные таким образом, что расшифровать их можно только имея специальный «приватный» ключ шифрования. Его злоумышленники, как правило, оставляют у себя и требуют деньги в обмен на ключ. К сожалению, в данной ситуации информацию практически невозможно расшифровать за приемлемое время, не имея «приватного» ключа шифрования.

Лаборатория Касперского ведёт постоянную работу по борьбе с подобными программами. В частности, иногда, принцип шифрования, используемый злоумышленниками, удается выяснить благодаря изучению кода вредоносной программы и создать утилиту для дешифровки данных. Тем не менее, существуют образцы вредоносного ПО, анализ которых не дает подобной ценной информации.

Для расшифровки файлов воспользуйтесь нашими утилитами (Rector Decryptor, RakhniDecryptor, RannohDecryptor, ScatterDecryptor, Xorist Decryptor или ScraperDecryptor) по ссылке: http://support.kaspersky.ru/viruses/utility

Каждая утилита содержит краткое описание, небольшую информацию о признаках заражения и инструкцию по работе. Пожалуйста, попробуйте выполнить расшифровку, выбрав соответствующую по описанию утилиту. Если расшифровать файлы не удалось, необходимо дождаться очередного обновления утилиты. Дата обновления для каждой утилиты указана в явном виде.

К сожалению, это всё, что можно сделать в данном случае.

Также рекомендуем Вам ознакомиться со следующими статьями:
1) Рекомендации по защите компьютера от программ-шифровальщиков: http://support.kaspersky.ru/viruses/common/10952
2) Рекомендации по защите от программ-шифровальщиков в Kaspersky Internet Security 2015: http://support.kaspersky.ru/11151
3) Рекомендации по защите от программ-шифровальщиков в Kaspersky Total Security: http://support.kaspersky.ru/11438

Благодарим за обращение в службу технической поддержки. Если в рамках данного обращения у Вас не осталось к нам вопросов, пожалуйста, закройте обращение через личный кабинет на сайте: https://my.kaspersky.ru

 

С уважением,
Служба Технической Поддержки
ЗАО "Лаборатория Касперского"

"

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • litis
      Файлы зашифрованы Trojan.Encoder.567 , установленные программы не запускаются
      От litis
      FRST.txtAddition.txt
    • KoHack
      Срочно нужна помощь . Secure
      От KoHack
      Срочно нужен дескриптор как в теме https://forum.kasperskyclub.ru/topic/80828-resheno-securemilleni5000qqcom/page/3/
      Помтгите пожалуйста, ключ есть, нужна сама прога, очень важно, вопрос жизни и смерти... 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из "Правила раздела и ответы на частые вопросы".
    • kiddr
      Вирус-шифровальщик.xtbl, decodefile001@gmail.com или decodefile002@gmail.com
      От kiddr
      Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:   "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 1E05A087200D94333D18|0 на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."   All the important files on your computer were encrypted. To decrypt the files you should send the following code: 1E05A087200D94333D18|0 to e-mail address decodefile001@gmail.com or decodefile002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый.    Прикрепляю файлы логов, отчет антивируса и ветку реестра.  
      Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"
      CollectionLog-2015.09.25-10.15.zip
      cureit.rar
      Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rar
    • Николай Аверов
      Файлы зашифрованы .pscrypt
      От Николай Аверов
      Добрый день!
      Вчера с утра у сотрудницы при запуске компьютера почти все пользовательские файлы были зашифрованы и добавлено расширение .mscrypt.
      При этом в каждой папке имеется письмо-вымогательство PaxyHok.html (2500 грн. просят).
      Антивира у нее, увы, не было, где и что скачала-подцепила - не знает, не помнит.
      Прогнал проверку Kaspersky Virus Removal Tool 2015 нашел несколько вирусов, в том числе трояна в оперативке.
      Прогнал  AutoLogger.exe , лог прикладываю, согласно Вашей инструкции.
       
      Прошу помочь, т.к. не "фотки с моря", а куча нужной рабочей информации. Спасибо.

      Забыл добавить: вчера перепробовал несколько самых обновленных декрипторов - ни один ничего не сделал.
      CollectionLog-2017.06.23-09.51.zip
    • АннаЛандес
      Все важные файлы на всех дисках вашего комп.были зашифрованы
      От АннаЛандес
      Здравствуйте!
      Прошу помощи. Одна надежда на вас; ни одна утилита с оффициального сайта Касперского не подходит..
      Зашифровались все важные для меня файлы на всех дисках рабочего офисного компьютера, а именно документы,фото, видео, картинки, видео и прочее..программы налогоплательщик, пу5, пу6 работают
       
      На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)
      А все файлы зашифровались в белиберду с расширением.xtbl,
      например вот: 0dvwbZj7umdBJMKu8yVNeJp9thg4CygWPkIf6Njljm72SeoJoWzpljyBiyfGEf0H.7B05ECA212BD08B7419D.better_call_saul
       
      В многочисленных текстовиках созданных вирусом пишется вот это:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 7B05ECA212BD08B7419D|0 на электронный адрес Rufinian.Valichitskiy@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае их изменения расшифровка станет невозможной ни при каких условиях. Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!), воспользуйтесь резервным адресом. Его можно узнать двумя способами: 1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en В адресной строке Tor Browser-а введите адрес: http://cryptorzimsbfbkx.onion/ и нажмите Enter. Загрузится страница с резервными email-адресами. 2) В любом браузере перейдите по одному из адресов: http://cryptorzimsbfbkx.onion.to/ http://cryptorzimsbfbkx.onion.cab/     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 7B05ECA212BD08B7419D|0 to e-mail address Rufinian.Valichitskiy@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the reserve email. You can get it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptorzimsbfbkx.onion/ Press Enter and then the page with reserve emails will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptorzimsbfbkx.onion.to/ http://cryptorzimsbfbkx.onion.cab

      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      82C551F386DC56F5EF49|0
      to e-mail address deshifrovka01@gmail.com or deshifrovka@india.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      Далее:
      Руфиниан Вальчицкий rufinian.valichitskiy@gmail.com Стоимость дешифровки 20000р. Пришлите 1 файл(бесплатно расшифровываю 1 файл весом до 10 мб,не содержащий важной информации, только для того чтобы вы смогли опознать, что это ваш файл,  никаких отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться не будет и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены). В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было.  Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь.  
      Если что-то ещё надо, только скажите./случайно прикрепила последний ненужный скрин/
      Очень жду вашей помощи.
      Заранее огромное спасибо. Анна.
      Прикрепленные файлы CollectionLog-2016.04.13-16.53.zip



×
×
  • Создать...