Зашифровались файлы фото видео (*.xtbl)

[alllexxx5]

В ноутбуке зашифровались файлы фото на рабстоле и на соседнем локальном диске. На рабстоле появилась надпись на чёрном фоне красными буквами " Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах readmy.txt и т.д. ...". Можно ли расшифровать фото? Лог AutoLogger прилагаю. Спасибо.

CollectionLog-2015.06.28-05.05.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\Temp\UsageTemp.exe','');
QuarantineFile('C:\Users\1\appdata\local\smartweb\__u.exe','');
QuarantineFile('C:\Users\1\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrsetup.exe','');
QuarantineFile('C:\Users\1\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrlte.exe','');
QuarantineFile('c:\users\1\appdata\local\ymverte.dll','');
QuarantineFile('C:\Program Files (x86)\SuperClick_1.10.0.16\Update\SuperClickAutoUpdateClient.exe','');
QuarantineFile('C:\Users\1\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\1\AppData\Roaming\RkczwC1gb4e.exe','');
QuarantineFile('C:\Users\1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','');
QuarantineFile('C:\Users\1\AppData\Roaming\cgijgtge\svigvhcw.exe','');
QuarantineFile('C:\Users\1\AppData\Local\AQworks\New.dll','');
QuarantineFile('C:\Users\1\AppData\Local\AQworks\1907.tmp.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
DeleteService('innfd_1_10_0_14');
SetServiceStart('{e087dbd9-26a2-4265-be90-fcd3ab1b0247}w64', 4);
DeleteService('{e087dbd9-26a2-4265-be90-fcd3ab1b0247}w64');
SetServiceStart('{cc30460f-753f-44d9-b58c-13dae1321968}w64', 4);
DeleteService('{cc30460f-753f-44d9-b58c-13dae1321968}w64');
SetServiceStart('{9afaf881-d21f-4eea-84b4-ccb916b0c9d5}Gw64', 4);
DeleteService('{9afaf881-d21f-4eea-84b4-ccb916b0c9d5}Gw64');
SetServiceStart('{7f2dbba5-0ba8-4000-bb52-83548bf8097b}Gw64', 4);
DeleteService('{7f2dbba5-0ba8-4000-bb52-83548bf8097b}Gw64');
SetServiceStart('{0ca29851-3273-497e-b859-b648c9a6fe3a}w64', 4);
DeleteService('{0ca29851-3273-497e-b859-b648c9a6fe3a}w64');
SetServiceStart('{028cb863-1abf-4b76-bf42-033ca296779f}Gw64', 4);
DeleteService('{028cb863-1abf-4b76-bf42-033ca296779f}Gw64');
SetServiceStart('scfd_1_10_0_16', 4);
DeleteService('scfd_1_10_0_16');
QuarantineFile('C:\Program Files (x86)\Fragile Fixer\bin\utilFragileFixer.exe','');
QuarantineFile('C:\Program Files (x86)\Fragile Fixer\updateFragileFixer.exe','');
DeleteService('Util Fragile Fixer');
DeleteService('Update Fragile Fixer');
SetServiceStart('sowyzexo', 4);
DeleteService('sowyzexo');
SetServiceStart('scsvc_1.10.0.16', 4);
DeleteService('scsvc_1.10.0.16');
QuarantineFile('C:\ProgramData\2ce8e63b-5e53-4efc-b4cf-6a6e52e017a4\maintainer.exe','');
SetServiceStart('MaintainerSvc1.47.6049145', 4);
DeleteService('MaintainerSvc1.47.6049145');
SetServiceStart('IHProtect Service', 4);
DeleteService('IHProtect Service');
SetServiceStart('difihify', 4);
DeleteService('difihify');
QuarantineFile('C:\Windows\system32\drivers\{f9b36afe-8f89-4e92-9187-52451fe87825}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{e087dbd9-26a2-4265-be90-fcd3ab1b0247}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{cc30460f-753f-44d9-b58c-13dae1321968}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{9afaf881-d21f-4eea-84b4-ccb916b0c9d5}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{7f2dbba5-0ba8-4000-bb52-83548bf8097b}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{0ca29851-3273-497e-b859-b648c9a6fe3a}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{028cb863-1abf-4b76-bf42-033ca296779f}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\scfd_1_10_0_16.sys','');
QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll','');
QuarantineFile('C:\Program Files (x86)\XTab\BrowerWatchCH.dll','');
QuarantineFile('c:\users\1\appdata\local\gmsd_ru_244\upgmsd_ru_244.exe','');
TerminateProcessByName('c:\users\1\appdata\local\gmsd_ru_244\upgmsd_ru_244.exe');
TerminateProcessByName('c:\users\1\appdata\roaming\digita~2\update~1\update~1.exe');
QuarantineFile('c:\users\1\appdata\roaming\digita~2\update~1\update~1.exe','');
TerminateProcessByName('c:\users\1\appdata\roaming\digita~1\update~1\update~1.exe');
QuarantineFile('c:\users\1\appdata\roaming\digita~1\update~1\update~1.exe','');
TerminateProcessByName('c:\program files (x86)\superclick_1.10.0.16\service\scsvc.exe');
TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe');
QuarantineFile('c:\program files (x86)\xtab\protectservice.exe','');
TerminateProcessByName('c:\users\1\appdata\roaming\00119b9d-1431957588-8017-ffff-bcaec5d4f397\nsxd216.tmpfs');
QuarantineFile('c:\users\1\appdata\roaming\00119b9d-1431957588-8017-ffff-bcaec5d4f397\nsxd216.tmpfs','');
TerminateProcessByName('c:\programdata\2ce8e63b-5e53-4efc-b4cf-6a6e52e017a4\maintainer.exe');
QuarantineFile('c:\programdata\2ce8e63b-5e53-4efc-b4cf-6a6e52e017a4\maintainer.exe','');
TerminateProcessByName('c:\users\1\appdata\local\kometa\kometaup.exe');
QuarantineFile('c:\users\1\appdata\local\kometa\kometaup.exe','');
TerminateProcessByName('c:\users\1\appdata\roaming\00119b9d-1431957588-8017-ffff-bcaec5d4f397\jnssff63.tmp');
QuarantineFile('c:\users\1\appdata\roaming\00119b9d-1431957588-8017-ffff-bcaec5d4f397\jnssff63.tmp','');
TerminateProcessByName('c:\program files (x86)\xtab\hpnotify.exe');
QuarantineFile('c:\program files (x86)\xtab\hpnotify.exe','');
TerminateProcessByName('c:\users\1\appdata\roaming\00119b9d-1431957588-8017-ffff-bcaec5d4f397\hnsn1536.tmp');
QuarantineFile('c:\users\1\appdata\roaming\00119b9d-1431957588-8017-ffff-bcaec5d4f397\hnsn1536.tmp','');
TerminateProcessByName('c:\program files (x86)\gmsd_ru_244\gmsd_ru_244.exe');
QuarantineFile('c:\program files (x86)\gmsd_ru_244\gmsd_ru_244.exe','');
TerminateProcessByName('c:\programdata\drivers\csrss.exe');
QuarantineFile('c:\programdata\drivers\csrss.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
TerminateProcessByName('C:\Windows\System32\cpuminer-gw64.exe');
QuarantineFile('C:\Windows\System32\cpuminer-gw64.exe','');
TerminateProcessByName('c:\program files (x86)\xtab\cmdshell.exe');
QuarantineFile('c:\program files (x86)\xtab\cmdshell.exe','');
QuarantineFile('c:\users\1\appdata\local\aqworks\1907.tmp.exe','');
TerminateProcessByName('c:\users\1\appdata\local\aqworks\1907.tmp.exe');
DeleteFile('c:\users\1\appdata\local\aqworks\1907.tmp.exe','32');
DeleteFile('c:\program files (x86)\xtab\cmdshell.exe','32');
DeleteFile('C:\Windows\System32\cpuminer-gw64.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\programdata\drivers\csrss.exe','32');
DeleteFile('c:\program files (x86)\gmsd_ru_244\gmsd_ru_244.exe','32');
DeleteFile('c:\users\1\appdata\roaming\00119b9d-1431957588-8017-ffff-bcaec5d4f397\hnsn1536.tmp','32');
DeleteFile('c:\program files (x86)\xtab\hpnotify.exe','32');
DeleteFile('c:\users\1\appdata\roaming\00119b9d-1431957588-8017-ffff-bcaec5d4f397\jnssff63.tmp','32');
DeleteFile('c:\users\1\appdata\local\kometa\kometaup.exe','32');
DeleteFile('c:\programdata\2ce8e63b-5e53-4efc-b4cf-6a6e52e017a4\maintainer.exe','32');
DeleteFile('c:\users\1\appdata\roaming\00119b9d-1431957588-8017-ffff-bcaec5d4f397\nsxd216.tmpfs','32');
DeleteFile('c:\program files (x86)\xtab\protectservice.exe','32');
DeleteFile('c:\program files (x86)\superclick_1.10.0.16\service\scsvc.exe','32');
DeleteFile('c:\users\1\appdata\roaming\digita~1\update~1\update~1.exe','32');
DeleteFile('c:\users\1\appdata\roaming\digita~2\update~1\update~1.exe','32');
DeleteFile('c:\users\1\appdata\local\gmsd_ru_244\upgmsd_ru_244.exe','32');
DeleteFile('C:\Program Files (x86)\XTab\IeWatchDog.dll','32');
DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
DeleteFile('C:\Windows\system32\drivers\scfd_1_10_0_16.sys','32');
DeleteFile('C:\Windows\system32\drivers\{028cb863-1abf-4b76-bf42-033ca296779f}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{0ca29851-3273-497e-b859-b648c9a6fe3a}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{7f2dbba5-0ba8-4000-bb52-83548bf8097b}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{9afaf881-d21f-4eea-84b4-ccb916b0c9d5}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{cc30460f-753f-44d9-b58c-13dae1321968}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{e087dbd9-26a2-4265-be90-fcd3ab1b0247}w64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{f9b36afe-8f89-4e92-9187-52451fe87825}w64.sys','32');
DeleteFile('C:\ProgramData\2ce8e63b-5e53-4efc-b4cf-6a6e52e017a4\maintainer.exe','32');
DeleteFile('C:\Program Files (x86)\Fragile Fixer\updateFragileFixer.exe','32');
DeleteFile('C:\Program Files (x86)\Fragile Fixer\bin\utilFragileFixer.exe','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SkyMonk');
DeleteFile('C:\Program Files (x86)\SkyMonk\SkyMonk.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windesk Winsearch');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_244');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AQworks');
DeleteFile('C:\Users\1\AppData\Local\AQworks\New.dll','32');
DeleteFile('C:\Users\1\AppData\Local\AQworks\1907.tmp.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YbPack');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Skymonk2');
DeleteFile('C:\Users\1\AppData\Local\Skymonk2\skymonk2.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_244.exe');
DeleteFile('C:\Users\1\AppData\Roaming\cgijgtge\svigvhcw.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','BonanzaDealsLive');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer');
DeleteFile('C:\Users\1\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32');
DeleteFile('C:\iexplore.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','osfqkydozu');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','USmedia');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Windows\Tasks\DigitalSite.job','64');
DeleteFile('C:\Users\1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\1\AppData\Roaming\RkczwC1gb4e.exe','32');
DeleteFile('C:\Windows\Tasks\RkczwC1gb4e.job','64');
DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64');
DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','64');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Users\1\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Program Files (x86)\SuperClick_1.10.0.16\Update\SuperClickAutoUpdateClient.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SuperClick Auto Updater 1.10.0.16 Core','64');
DeleteFile('C:\Windows\system32\Tasks\SuperClick Auto Updater 1.10.0.16 Pending Update','64');
DeleteFile('C:\Users\1\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{BA778D96-7152-41A0-9BF8-5995FC5AC4F5}','64');
DeleteFile('C:\Users\1\AppData\Roaming\oursurfing\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{C8169132-C74D-4CA4-B363-278AB0B1BF2B}','64');
DeleteFile('c:\users\1\appdata\local\ymverte.dll','32');
DeleteFile('C:\Users\1\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrlte.exe','32');
DeleteFile('C:\Users\1\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrsetup.exe','32');
DeleteFile('C:\Users\1\appdata\local\smartweb\__u.exe','32');
DeleteFile('C:\Windows\Temp\UsageTemp.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи по правилам

[alllexxx5]

Re: проверка [KLAN-2925553515]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

__u.exe - not-a-virus:AdWare.Win32.

PriceGong.a
BrowerWatchCH.dll - not-a-virus:AdWare.Win32.SearchProtect.rw
cmdshell.exe - not-a-virus:AdWare.Win32.SearchProtect.rx
gmsd_ru_244.exe,
upgmsd_ru_244.exe - not-a-virus:AdWare.Win32.Eorezo.fkz
hpnotify.exe - not-a-virus:AdWare.Win32.SearchProtect.so
iexplore.bat - not-a-virus:AdWare.BAT.Clicker.af
scsvc.exe - not-a-virus:AdWare.Win32.Vitruvian.l
SupTab.dll - not-a-virus:AdWare.Win32.SubTab.e
update~1_0.exe,
update~1_2.exe,
updatetask.exe,
updatetask_1.exe - not-a-virus:AdWare.Win32.DealPly.bt

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

{028cb863-1abf-4b76-bf42-033ca296779f}Gw64.sys,
{0ca29851-3273-497e-b859-b648c9a6fe3a}w64.sys,
{7f2dbba5-0ba8-4000-bb52-83548bf8097b}Gw64.sys,
{9afaf881-d21f-4eea-84b4-ccb916b0c9d5}Gw64.sys,
{cc30460f-753f-44d9-b58c-13dae1321968}w64.sys,
{e087dbd9-26a2-4265-be90-fcd3ab1b0247}w64.sys,
{f9b36afe-8f89-4e92-9187-52451fe87825}w64.sys,
cpuminer-gw64.exe,
csrss.exe,
csrss_0.exe,
hnsn1536.tmp,
jnssff63.tmp,
maintainer.exe,
New.dll,
nsxd216.tmpfs,
tmonbiu.dll,
ymverte.dll
protectservice.exe
scfd_1_10_0_16.sys
update~1.exe,
update~1_1.exe,
updatetask_0.exe
UsageTemp.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

1907.tmp.exe - Trojan.Win32.VBKryjetor.vup
svigvhcw.exe - Trojan.Win32.Sharik.vtq

Детектирование файлов будет добавлено в следующее обновление.

dsrlte.exe,
dsrsetup.exe - not-a-virus:Downloader.Win32.Montiera.b
RkczwC1gb4e.exe - not-a-virus:WebToolbar.Win32.CroRi.fte

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

kometaup.exe,
sgminer.cmd,
SuperClickAutoUpdateClient.exe

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

CollectionLog-2015.06.28-05.05.zip

[thyrex]

А зачем нам старые логи, если написано сделать новые?

[alllexxx5]

Извините, поторопился.

CollectionLog-2015.06.28-16.26.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[alllexxx5]

лог полного сканирования MBAM

log.txt

[thyrex]

Делайте новый лог МВАМ, если решили заняться самодеятельностью

[alllexxx5]

Вся папка лог МВАМ

Logs.zip

[thyrex]

Нужен текстовый лог МВАМ, а Вы прислали xml-файлы 

[alllexxx5]

я до этого сделал экспорт в текстовый файл, сейчас сделаю ещё раз

дело в том что окно проверки закрылось файлы в карантине папку с MBAM и карантином я на всяк случай скопировал создал точк восстан, ноут неадекватно реаг на нажатие кнопок  подключил внешнююю клавиатуру и мышь, главная задача спасти файлы, повторный лог

log.txt

[thyrex]

Я в этом логе видел 

Помещено в карантин

 

для всех найденных файлов.

 

Потому и просил

Делайте новый лог МВАМ, если решили заняться самодеятельностью

[alllexxx5]

заново запустить проверку? а с теми что в карантине ничего не случится?

перезагрузил, восстановил всё из карантина MBAM, после повторной проверки пришлю лог благо с подключенной внешней клавиатурой и мышкой поскладней стало

[thyrex]

Я просил все восстанавливать? Не занимайтесь самодеятельностью. Я просил всего лишь заново запустить проверку

[alllexxx5]

после всего прошёл проверку MBAM, лог прилагаю, за самодеятельность извиняюсь

log.txt