Перейти к содержанию

Зашифровались файлы фото видео (*.xtbl)

alllexxx5
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Удалите в МВАМ всё, кроме

PUP.Optional.APNToolBar.A, C:\Users\1\Documents\APNSetup.exe, , [f220f6ca6b1f52e4e1b93331a9599d63], 
PUP.Optional.APNToolBar.A, C:\Users\1\Documents\APNSetup1.exe, , [a76b8e32c8c2cf67f9a1b6aee41eb848], 
PUP.BundleInstaller.MB, C:\Users\1\Downloads\miniinstall.exe, , [c74b2a9607834aecbe6f16ab1fe1a55b], 
PUP.Optional.APNToolBar.A, C:\Users\1\Downloads\DriverUpdaterSetup-2.0.0.6002.exe, , [5bb7714f0b7fee483368461eb84acc34], 
PUP.Optional.DomaIQ, C:\Users\1\Downloads\Setup (1).exe, , [43cf29977911f0465e87ef1f679bab55], 
PUP.Optional.Imali, C:\Users\1\Downloads\setup (2).exe, , [0909a51b1d6d84b2594fe15e837f3ec2], 
PUP.Optional.SmartSec, C:\Users\1\Downloads\Setup v2 1.exe, , [20f2c2fe800a62d44fb63bce28da3ec2], 
PUP.Optional.InstallCore, C:\Users\1\Downloads\Setup.exe, , [a969249ca0eaa6901954ab3db64f10f0], 
thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

thyrex

thyrex

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {4179ED28-0094-45eb-B743-1290A1B5FAFF} URL = http://webalta.ru/srch?q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {4179ED28-0094-45eb-B743-1290A1B5FAFF} URL = http://webalta.ru/srch?q={searchTerms}
SearchScopes: HKU\S-1-5-19 -> DefaultScope {4179ED28-0094-45eb-B743-1290A1B5FAFF} URL = http://webalta.ru/srch?q={searchTerms}
SearchScopes: HKU\S-1-5-19 -> {4179ED28-0094-45eb-B743-1290A1B5FAFF} URL = http://webalta.ru/srch?q={searchTerms}
SearchScopes: HKU\S-1-5-20 -> DefaultScope {4179ED28-0094-45eb-B743-1290A1B5FAFF} URL = http://webalta.ru/srch?q={searchTerms}
SearchScopes: HKU\S-1-5-20 -> {4179ED28-0094-45eb-B743-1290A1B5FAFF} URL = http://webalta.ru/srch?q={searchTerms}
SearchScopes: HKLM-x32 -> {4179ED28-0094-45eb-B743-1290A1B5FAFF} URL = http://webalta.ru/srch?q={searchTerms}
SearchScopes: HKU\S-1-5-21-19017011-266142764-1026015142-1001 -> Moikrug URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=ST9500325AS_6VEM8S48XXXX6VEM8S48&ts=1431959129&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-19017011-266142764-1026015142-1001 -> yandex.ru-012457 URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=ST9500325AS_6VEM8S48XXXX6VEM8S48&ts=1431959129&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-19017011-266142764-1026015142-1001 -> yandex.ru-211820 URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=ima&utm_campaign=install_ie&utm_content=ds&from=ima&uid=ST9500325AS_6VEM8S48XXXX6VEM8S48&ts=1431959129&type=default&q={searchTerms}
BHO: VkTheme -> {9E2F8944-2BC5-4A96-90AC-6A8F069BFFE7} -> C:\Program Files (x86)\VkTema\vktheme64.dll No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} ->  No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File
Toolbar: HKLM-x32 - No Name - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} -  No File
Toolbar: HKU\S-1-5-21-19017011-266142764-1026015142-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bbc9208ca12d4ec428a825eb42a6ffc9&text= <==== ATTENTION
2015-06-22 02:17 - 2015-06-22 02:17 - 00000000 ____D C:\Users\1\AppData\Roaming\cpuminer
2015-06-21 23:19 - 2015-06-21 23:19 - 00000897 _____ C:\README9.txt
2015-06-21 23:19 - 2015-06-21 23:19 - 00000897 _____ C:\README8.txt
2015-06-21 23:19 - 2015-06-21 23:19 - 00000897 _____ C:\README7.txt
2015-06-21 23:19 - 2015-06-21 23:19 - 00000897 _____ C:\README6.txt
2015-06-21 23:19 - 2015-06-21 23:19 - 00000897 _____ C:\README5.txt
2015-06-21 23:19 - 2015-06-21 23:19 - 00000897 _____ C:\README4.txt
2015-06-21 23:19 - 2015-06-21 23:19 - 00000897 _____ C:\README3.txt
2015-06-21 23:19 - 2015-06-21 23:19 - 00000897 _____ C:\README2.txt
2015-06-21 23:19 - 2015-06-21 23:19 - 00000897 _____ C:\README10.txt
2015-06-24 14:42 - 2015-06-24 14:42 - 03148854 _____ C:\Users\1\AppData\Roaming\6BB077436BB07743.bmp
2015-06-21 23:18 - 2015-06-28 14:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-17 00:08 - 2015-06-17 00:08 - 00000226 _____ C:\Windows\system32\cpuminer-conf.json
2015-06-09 01:03 - 2015-06-09 01:04 - 00768512 _____ (Reimage®) C:\Users\1\Downloads\ReimageRepair.exe
2013-10-11 17:31 - 2013-10-11 17:31 - 0356754 _____ () C:\Users\1\AppData\Local\metacrawler-speeddial.crx
Task: {19B42CB3-7F33-4983-B25D-E673196D27E4} - \SuperClick Auto Updater 1.10.0.16 Core No Task File <==== ATTENTION
Task: {1D9A9B9E-BC6E-479A-8018-79456D491CB5} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File <==== ATTENTION
Task: {3FF71B24-1DBA-42BD-B37A-BE23C88122A2} - \SuperClick Auto Updater 1.10.0.16 Pending Update No Task File <==== ATTENTION
Task: {5DBD0462-6652-48BD-AD4C-955906434EA6} - \{BA778D96-7152-41A0-9BF8-5995FC5AC4F5} No Task File <==== ATTENTION
Task: {B2C679F6-7EB3-4183-AE74-8202A249E998} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File <==== ATTENTION
Task: {D41B4FEA-9214-43E7-AF17-B25C10F09358} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
Task: {E1ED4DC1-97CC-40CB-A041-9CA491BB2432} - \{C8169132-C74D-4CA4-B363-278AB0B1BF2B} No Task File <==== ATTENTION
AlternateDataStreams: C:\Users\1\Local Settings:wa
AlternateDataStreams: C:\Users\1\AppData\Local:wa
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8C35AEA7
HKU\S-1-5-21-19017011-266142764-1026015142-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\1\AppData\Roaming\6BB077436BB07743.bmp
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

alllexxx5

alllexxx5

Опубликовано
  • Автор
Опубликовано

Всё сделал, надпись после перезагрузки с рабочего стола исчезла фото зашифрованы

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Мусор почистили основательно.

 

С расшифровкой не поможем

alllexxx5

alllexxx5

Опубликовано
  • Автор
Опубликовано

главная задача была расшифровать файлы фото, сейчас я могу как-то это сделать?

thyrex

thyrex

Опубликовано
Опубликовано

Вряд ли без помощи злодеев.

 

Как вариант, восстановить информацию из теневых копий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Как проверить достоверность и происхождение фото и видео | Блог Касперского
      Автор KL FC Bot
      За последние полтора года мы окончательно разучились верить своим глазам. Подделка изображений в фоторедакторах встречалась и ранее, но появление генеративного ИИ вывело подделки на новый уровень. Пожалуй, первым знаменитым ИИ-фейком можно назвать ставшее виральным год назад фото папы римского в белом пуховике, но с тех пор счет таким качественным подделкам пошел на тысячи. Более того, развитие ИИ обещает нам вал убедительных поддельных видео в самом ближайшем будущем.
      Один из первых дипфейков, получивших всемирную популярность: папа римский в белом пуховике
      Это еще больше усложнит проблему отслеживания «фейковых новостей» и их иллюстративного материала, когда фото одного события выдаются за изображение другого, людей, которые никогда не встречались, соединяют в фоторедакторе и так далее.
      Подделка изображений и видео имеет прямое отношение к кибербезопасности. Уже давно в разного рода мошеннических схемах жертв убеждают расстаться с деньгами, присылая им фото людей или животных, для которых якобы ведутся благотворительные сборы, обработанные изображения звезд, призывающих инвестировать в очередную пирамиду, и даже изображения банковских карт, якобы принадлежащих близким знакомым жертвы мошенничества. На сайтах знакомств и в других соцсетях жулики тоже активно используют сгенерированные изображения для своего профиля.
      В наиболее сложных схемах дипфейк-видео и аудио, якобы изображающие начальство или родственников жертвы, применяются, чтобы убедить ее совершить нужное аферистам действие. Совсем недавно работника финансовой организации убедили перевести $25 млн мошенникам — жулики организовали видеозвонок, на котором присутствовали «финдиректор» и другие «коллеги» жертвы, — все дипфейковые.
      Как бороться с дипфейками и просто фейками? Как их распознавать? Это крайне сложная проблема, но ее остроту можно поэтапно снизить, особенно если научиться отслеживать происхождение изображения.
       
      Посмотреть статью полностью
    • andrew75
      Итоги празднования 18-летия клуба. Впечатления, фото и видео.
      Автор andrew75
      Огромное спасибо организаторам поездки. И со стороны ЛК и от принимающей стороны.
      Как всегда организация на высшем уровне.
      Масса впечатлений, все было замечательно.
      Спасибо всем участникам. Был рад со всеми встретиться.
       
      Ссылки на фото и видео:
      @dkhilobok общие фото https://disk.yandex.ru/d/ao3avsXoVg3oJQ
      @kmscom https://cloud.mail.ru/public/MDGK/NPQSD1uL3
      @Mrak и @Машуня https://disk.yandex.ru/d/rP_NWE0L1aigNw
      @andrew75 https://disk.yandex.ru/d/TAFyOAMCBr7xlA
      @Friend https://cloud.mail.ru/public/aKDk/44Bv89B3c
      @den https://disk.yandex.ru/d/4uG9KQvWbJkvMw
      @kilo https://disk.yandex.ru/d/5eVKr6wnd95mTg
      Фото от инструктора из экстрим-парка: https://disk.yandex.ru/d/6x4IEBaQUqb5dA
       
      Делимся впечатлениями, выкладываем фото и видео. 
      Ссылки будут добавлены в шапку темы.
    • andrew75
      Итоги празднования 19-летия клуба. Впечатления, фото и видео.
      Автор andrew75
      Закончилась очередная поездка на ДР нашего клуба. Но осталась масса впечатлений.
      Все как всегда было на высоте, за что огромная благодарность организаторам.
      Спасибо всем, кто участвовал в поездке.
       
      Ссылки на фото и видео:
      @andrew75 https://disk.yandex.ru/d/ySrS3YSXC1YVTQ
      @Ta2i4 https://disk.yandex.ru/d/iUbi-lW5g9GRJA
      @den https://disk.yandex.ru/d/KHvPrELs1tUvmA
      @Friend Фото: https://cloud.mail.ru/public/ZdQ9/xtU5WQYqq  Видео: https://cloud.mail.ru/public/6uCo/NCuNj9Nbr
      @kilo https://disk.yandex.ru/d/fDycSb3Kv_alVA
      @dkhilobok встреча в офисе: https://box.kaspersky.com/d/dab375d19f394b9eadeb/ общие фото в Дагестане: https://box.kaspersky.com/d/cbd121223a9d41ef8ca9/ 
      @Eugene O. Фото: https://disk.yandex.ru/d/SWEig_h360qSDw  Видео: https://disk.yandex.ru/i/2ORQRZ_ibWXC8Q
      @kmscom https://cloud.mail.ru/public/HfPZ/vfiEDWRk1
      Итоговое видео: https://rutube.ru/video/0d3e7a3c620f390ce966c33741c09619/
       
      Выкладывайте здесь ваши впечатления, ссылки на фото, видео и ваши посты в соцсетях.
      Ссылки будут добавлены в шапку темы.
       
       
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
×
×
  • Создать...