Перейти к содержанию

зашифрованы файлы


Рекомендуемые сообщения

Здравствуйте.

Зашифровались данные, поменялось расширение на xtbl.
"Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
04F0BE3043ED03E8DA6C|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."
Спасибо заранее за помощь.
 
 
 
 

CollectionLog-2015.07.10-22.12.zip

Ссылка на комментарий
Поделиться на другие сайты


Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 


 

 



Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [gpuminer] => C:\Users\olga_kar\AppData\Roaming\cpuminer\sgminer\sgminer.cmd
C:\Users\olga_kar\AppData\Roaming\cpuminer
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCTRAY.EXE" /regrun /qqrepair
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Password.lnk [2014-05-12]
ShortcutTarget: Password.lnk -> C:\Windows\Temp\Password.exe (No File)
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMGCShellExt64.dll No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO: ????????? -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TSWebMon64.dat No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
FF Plugin: @iqiyi.com/npclient -> C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\npclient.dll No File
FF Plugin: @iqiyi.com/npWebPlayer -> C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @baidu.com/npxbdcntb -> C:\Program Files (x86)\Baidu\BaiduPinyin\2.14.2.46\npxbdcntb.dll No File
FF Plugin-x32: @iqiyi.com/npclient -> C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\npclient.dll No File
FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\npQMExtensionsMozilla.dll No File
FF Extension: HD+V1.0 - C:\Users\Olga\AppData\Roaming\Mozilla\Firefox\Profiles\6uv47tmb.default\Extensions\0f606e47-2ee3-45cb-ad45-5585a3f1b12e@73359c31-a0c3-4085-b9a0-af433e9f9c18.com [2014-08-31]
FF Extension: Cinema-Plus-1.5c - C:\Users\Olga\AppData\Roaming\Mozilla\Firefox\Profiles\6uv47tmb.default\Extensions\DFCU50039250@GP61178090.com [2014-11-09]
FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [not found]
CHR Extension: (HD+V1.0) - C:\Users\Olga\AppData\Local\Google\Chrome\User Data\Default\Extensions\jmjonpeiaiacbgfgemlchebljmfgjnmh [2014-10-03]
File: C:\Program Files (x86)\Smooth Distribution\Smooth Distribution.exe
R2 RsMgrSvc; C:\Program Files (x86)\Rising\RSD\RsMgrSvc.exe [179992 2014-09-02] (Beijing Rising Information Technology Co., Ltd.)
2015-07-09 00:50 - 2015-07-09 00:50 - 03148854 _____ C:\Users\olga_kar\AppData\Roaming\A6C7E53EA6C7E53E.bmp
2015-07-06 21:47 - 2015-07-09 01:21 - 00000000 __SHD C:\ProgramData\Windows
2015-07-03 02:00 - 2015-07-06 23:25 - 00000000 ____D C:\ProgramData\4776dc07-f30f-4d0b-87a6-e2d583c890d4
2015-07-03 01:21 - 2015-07-03 01:21 - 00000000 ____D C:\ProgramData\KingSoft
2015-07-03 01:19 - 2015-07-03 01:20 - 00000000 ____D C:\ProgramData\Rising
2015-07-03 01:19 - 2015-07-03 01:19 - 00000000 ____D C:\Program Files (x86)\Rising
2015-07-03 01:17 - 2015-07-03 01:18 - 00000000 ____D C:\Users\olga_kar\AppData\Roaming\Baidu
2015-07-03 01:17 - 2015-07-03 01:18 - 00000000 ____D C:\ProgramData\Baidu
2015-07-03 01:15 - 2015-07-03 01:15 - 00000000 ____D C:\Users\olga_kar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\????
2015-07-03 00:40 - 2015-07-09 01:34 - 00000000 ____D C:\Program Files (x86)\CinemaPlus-4.5vV02.07
2015-07-03 00:40 - 2015-07-06 22:59 - 00000000 ____D C:\Program Files (x86)\f2fde532-47ae-4cc3-b2d0-3c72311a5f7a
2015-07-03 00:40 - 2015-07-03 00:40 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
2015-07-03 00:32 - 2015-07-03 00:32 - 00000000 ____D C:\Users\Public\QiYi
2015-07-03 00:23 - 2015-07-09 01:25 - 00000000 ____D C:\Program Files (x86)\baidu
2015-07-03 00:09 - 2015-07-03 00:09 - 00000000 ____D C:\Program Files (x86)\TerminusKeeper
2015-07-03 00:08 - 2015-07-06 22:39 - 00000000 ____D C:\Program Files (x86)\FlashControl
2015-07-03 00:05 - 2015-07-09 00:40 - 00000000 ____D C:\ProgramData\12944428939651253246
2015-07-03 00:04 - 2015-07-11 00:04 - 00000410 _____ C:\Windows\Tasks\UltimateMusic.job
Task: {18CE01CD-295C-45A0-8D2B-CD9E140EA0A5} - System32\Tasks\{9E14A8A9-78EB-4A35-8C20-7988F7C224AD} => pcalua.exe -a "C:\Users\olga_kar\AppData\Roaming\IQIYI Video\Common\QyUninstaller.exe"
Task: C:\Windows\Tasks\crazy_deals_helper_service.job => C:\Program Files (x86)\Crazy Deals\crazy_deals_helper_service.exe
Task: C:\Windows\Tasks\UltimateMusic.job => c:\programdata\{a7cf04fc-e3a8-59cc-a7cf-f04fce3a13f3}\any video converter ultimate 5.7.1.rar.exe <==== ATTENTION
FirewallRules: [{CBA6ED06-8B66-4E5E-8BD5-6DC1ABF6E527}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe
FirewallRules: [{D1C5037E-FEF5-454F-B317-0BF113A7B8AD}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\GeePlayer\GeePlayer.exe
FirewallRules: [{BE8706FE-9915-415F-B7F0-705E57B05530}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{B2374CB5-0C37-45CD-A4CD-37F6CAFA96E1}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{F6E9D204-88A4-44C9-B9F2-19D4E500B293}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{5395CC0F-CA24-434A-9763-1B63ED6D00BC}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{9C100EBC-0D3F-4294-B3CA-14307962FD06}] => (Allow) C:\Users\olga_kar\AppData\Roaming\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{8DE5DCB1-7818-4C40-9C3D-A66D0936CEDD}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{B1FDDC96-591D-434E-B17D-DA3D2427424A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCmgrInstallGuide.exe
FirewallRules: [{C1B55E02-97B7-49DF-B0FE-AEE3EEDCBAFB}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{4B9380B2-5CFC-48D6-B824-2FA24937FC24}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCTray.exe
FirewallRules: [{E8D115C7-9BE0-42E7-914A-539D9A536206}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCMgr.exe
FirewallRules: [{F543A3B4-033C-4FF6-8361-9EFAF2A964E5}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCRTP.exe
FirewallRules: [{900233CE-45FE-4B16-92F3-0D8BC9B87E92}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMDL.exe
FirewallRules: [{5B5DFDE1-9771-4138-B28A-4564CD5BCB77}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\bugreport.exe
FirewallRules: [{FE682472-3776-44EF-92A4-D438604D17FB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCFileOpen.exe
FirewallRules: [{8875470D-C71E-461D-9F09-662790D7410D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCLeakScan.exe
FirewallRules: [{83B17FDD-2F32-49EF-AF98-34A76E3CF64D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPConfig.exe
FirewallRules: [{3705AB6C-2E9F-436A-9EC0-05CC906A96CB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCSoftMgr.exe
FirewallRules: [{C1C68660-2DE9-45B8-A210-B208354C0146}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\QMNetMon\QQPCNetFlow.exe
FirewallRules: [{4121BBE3-B621-4845-8AA2-75CEFC1CBA5F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCBTU.exe
FirewallRules: [{FBD87FF1-BBA2-4557-89B4-27FC9880C871}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCClinic.exe
FirewallRules: [{58270FB9-C68E-4DF1-8362-DBCD92E76153}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCLaunch.exe
FirewallRules: [{51693B4A-F54B-4EB0-8F55-5FD3FF018CFA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUpdate\QQPCMgrUpdate.exe
FirewallRules: [{FA991D30-3436-4DC4-AC6E-9C52E5997D9E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCSoftGame.exe
FirewallRules: [{B55A1537-F2F2-48BE-A32C-60EA4672205A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCSysOptimize.exe
FirewallRules: [{AAA248D9-5241-41F6-B031-0FC849856730}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCUpdateAVLib.exe
FirewallRules: [{0B5C34CA-4BCF-495F-B28D-F1EDF1DE072A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQRepair.exe
FirewallRules: [{9ACB9B25-C362-49D5-B2F5-7662A04373C5}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\Uninst.exe
FirewallRules: [{EE709D12-C2DA-4D29-AB97-6EEBDDE28665}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCPatch.exe
FirewallRules: [{999902A7-053F-4AA7-8822-2CE08341A7FB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TpkUpdate.exe
FirewallRules: [{C8F9F829-3024-46EF-B7CA-9E4C325452DE}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMRouterMgr.exe
FirewallRules: [{BD184C33-3DBD-4FB1-B8E2-52E62982EC2E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMAccountProtection.exe
FirewallRules: [{DA2E3146-04B4-413D-90CB-F328F24B2571}] => (Allow) C:\Program Files (x86)\baidu\BaiduPinyin\UIFrame\1.0.0.150\UIFrame.exe
FirewallRules: [{D73A157F-715B-4B79-AF59-91FD8A15A265}] => (Allow) C:\Program Files (x86)\baidu\BaiduPinyin\UIFrame\1.0.0.150\UIFrame.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
 
  • Скачайте Junkware Removal Tool by thisisu отсюда и сохраните утилиту на Рабочем столе
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Запустите утилиту (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
  • Дождитесь окончания сканирования и удаления
  • По завершению сканирования лог (JRT.txt) будет сохранен на Рабочем столе и автоматически открыт в Блокноте.
  • Прикрепите полученный лог JRT.txt к своему следующему сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

Проверьте эти файлы на virustotal



C:\Program Files (x86)\Smooth Distribution\Smooth Distribution.exe


кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

Ссылка на комментарий
Поделиться на другие сайты

Логи в порядке.

 

По расшифровке:

 

При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...