Перейти к содержанию

Зашифрованы файлы в xtbl


Рекомендуемые сообщения

Здравствуйте!!! 

Вирус-шифровщик зашифровал почти все файлы в xtbl,на рабочем столе было 10 текстовых файлов с таким содержанием:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

DCD6F9F82538E79132DD|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

CollectionLog-2015.07.12-16.01.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','');
DeleteService('TS888x64');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\TS888x64.sys','32');
DeleteFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Users\Кисюха\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{1C755854-E36A-4C9B-BA3B-500BB3E5425B}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','');
DeleteService('TS888x64');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\TS888x64.sys','32');
DeleteFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Users\Кисюха\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{1C755854-E36A-4C9B-BA3B-500BB3E5425B}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

 

  • Распакуйте архив с утилитой в отдельную папку.

     

     

  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

     

    move.gif

     

     

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

     

     

  • Прикрепите этот отчет к своему следующему сообщению.

     

     

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

KLAN-2964519791

ClearLNK-12.07.2015_17-06.log

CollectionLog-2015.07.12-17.16.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
GroupPolicyUsers\S-1-5-21-3363947676-2509214028-1096842573-1001\User: Group Policy Restriction detected <======= ATTENTION
BHO-x32: °®ЖжТХЦъКЦ -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} ->  No File
Toolbar: HKU\S-1-5-21-3363947676-2509214028-1096842573-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Plugin: @iqiyi.com/npclient -> D:\IQIYI Video\LStyle\npclient.dll No File
FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll No File
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1216156.dll No File
2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README9.txt
2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README5.txt
2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README4.txt
2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README3.txt
2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README2.txt
2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README10.txt
2015-07-07 20:18 - 2015-07-07 20:18 - 03148854 _____ C:\Users\Кисюха\AppData\Roaming\B5D0772EB5D0772E.bmp
2015-07-06 21:55 - 2015-07-08 01:38 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-06 21:55 - 2015-07-08 01:38 - 00000000 __SHD C:\ProgramData\Windows
2015-07-08 01:51 - 2015-03-17 17:27 - 00000000 ____D C:\Users\Кисюха\AppData\Roaming\294AFF51-1426602434-E111-99CD-B888E35E99FF
2015-07-08 01:40 - 2015-03-17 17:32 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613534-E111-99CD-B888E35E99FF
2015-07-08 01:40 - 2015-03-17 17:31 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613516-E111-99CD-B888E35E99FF
2015-07-08 01:40 - 2015-03-17 17:29 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613352-E111-99CD-B888E35E99FF
2015-05-15 20:58 - 2015-04-07 15:17 - 0200992 ____H (Яндекс) C:\Users\Кисюха\AppData\Roaming\YаndехDiskStаrtеr.bаt.exe
2015-05-15 20:58 - 2015-04-07 15:17 - 3989280 ____H (Яндекс) C:\Users\Кисюха\AppData\Roaming\YаndехDiskSсrееnshоtЕditоr.bаt.exe
Task: {847624F6-BDE7-402A-8400-2079295A646F} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe [2014-11-13] (MyPC Backup) <==== ATTENTION
Task: {BD7BDDD5-6592-435D-9C58-4FC97F004C4B} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION
Task: {BFA594DE-AB67-4455-9202-5D1638F349EC} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION
Task: {DD4033F2-126D-4067-B630-70C128672AFB} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Вадим\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) <==== ATTENTION
Task: {FADFDDEE-595B-4280-8608-CDB98A9FFB04} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-10_user.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-10.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-11.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-11.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-3.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-3.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5_user.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-6.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-6.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\EBjPYBvIDD5g.job => C:\Users\эяэяэяэяэя\AppData\Roaming\EBjPYBvIDD5g.exe <==== ATTENTION
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

http://virusinfo.info/showthread.php?t=156188 (тему на Вирусинфо создавать не нужно)

А если было отключено  восстановление системы и нет теневые копии Windows? Что можно еще попробовать?

Ссылка на комментарий
Поделиться на другие сайты

А если было отключено, то такой номер не пройдет в вашем случае. 

 

По расшифровке:
 
При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет.
Ссылка на комментарий
Поделиться на другие сайты

 

А если было отключено, то такой номер не пройдет в вашем случае. 

 

По расшифровке:
 
При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет.

 

А если нет коммерческой лицензии на любой из продуктов Антивируса Касперского? Мне не помогут?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...