Перейти к содержанию

Зашифрованы файлы в xtbl


Рекомендуемые сообщения

Александр Баханков
Здравствуйте!!! 

Вирус-шифровщик зашифровал почти все файлы в xtbl,на рабочем столе было 10 текстовых файлов с таким содержанием:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

DCD6F9F82538E79132DD|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

CollectionLog-2015.07.12-16.01.zip

report1.log

report2.log

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','');
DeleteService('TS888x64');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\TS888x64.sys','32');
DeleteFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Users\Кисюха\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{1C755854-E36A-4C9B-BA3B-500BB3E5425B}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты
Александр Баханков

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','');
DeleteService('TS888x64');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16065.215\TS888x64.sys','32');
DeleteFile('C:\Users\Кисюха\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Users\Кисюха\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{1C755854-E36A-4C9B-BA3B-500BB3E5425B}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

 

  • Распакуйте архив с утилитой в отдельную папку.

     

     

  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

     

    move.gif

     

     

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

     

     

  • Прикрепите этот отчет к своему следующему сообщению.

     

     

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

KLAN-2964519791

ClearLNK-12.07.2015_17-06.log

CollectionLog-2015.07.12-17.16.zip

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
GroupPolicyUsers\S-1-5-21-3363947676-2509214028-1096842573-1001\User: Group Policy Restriction detected <======= ATTENTION
BHO-x32: °®ЖжТХЦъКЦ -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} ->  No File
Toolbar: HKU\S-1-5-21-3363947676-2509214028-1096842573-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Plugin: @iqiyi.com/npclient -> D:\IQIYI Video\LStyle\npclient.dll No File
FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll No File
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1216156.dll No File
2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README9.txt
2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README5.txt
2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README4.txt
2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README3.txt
2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README2.txt
2015-07-07 20:18 - 2015-07-07 20:22 - 00000893 _____ C:\Users\Кисюха\Desktop\README10.txt
2015-07-07 20:18 - 2015-07-07 20:18 - 03148854 _____ C:\Users\Кисюха\AppData\Roaming\B5D0772EB5D0772E.bmp
2015-07-06 21:55 - 2015-07-08 01:38 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-06 21:55 - 2015-07-08 01:38 - 00000000 __SHD C:\ProgramData\Windows
2015-07-08 01:51 - 2015-03-17 17:27 - 00000000 ____D C:\Users\Кисюха\AppData\Roaming\294AFF51-1426602434-E111-99CD-B888E35E99FF
2015-07-08 01:40 - 2015-03-17 17:32 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613534-E111-99CD-B888E35E99FF
2015-07-08 01:40 - 2015-03-17 17:31 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613516-E111-99CD-B888E35E99FF
2015-07-08 01:40 - 2015-03-17 17:29 - 00000000 ____D C:\Users\Кисюха\AppData\Local\294AFF51-1426613352-E111-99CD-B888E35E99FF
2015-05-15 20:58 - 2015-04-07 15:17 - 0200992 ____H (Яндекс) C:\Users\Кисюха\AppData\Roaming\YаndехDiskStаrtеr.bаt.exe
2015-05-15 20:58 - 2015-04-07 15:17 - 3989280 ____H (Яндекс) C:\Users\Кисюха\AppData\Roaming\YаndехDiskSсrееnshоtЕditоr.bаt.exe
Task: {847624F6-BDE7-402A-8400-2079295A646F} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe [2014-11-13] (MyPC Backup) <==== ATTENTION
Task: {BD7BDDD5-6592-435D-9C58-4FC97F004C4B} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION
Task: {BFA594DE-AB67-4455-9202-5D1638F349EC} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION
Task: {DD4033F2-126D-4067-B630-70C128672AFB} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Вадим\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) <==== ATTENTION
Task: {FADFDDEE-595B-4280-8608-CDB98A9FFB04} - System32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5 => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe [2015-06-10] (Cinema PlusV09.06) <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-10_user.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-10.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-11.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-11.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-3.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-3.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5_user.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-6.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-6.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7.job => C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\EBjPYBvIDD5g.job => C:\Users\эяэяэяэяэя\AppData\Roaming\EBjPYBvIDD5g.exe <==== ATTENTION
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты
Александр Баханков

http://virusinfo.info/showthread.php?t=156188 (тему на Вирусинфо создавать не нужно)

А если было отключено  восстановление системы и нет теневые копии Windows? Что можно еще попробовать?

Ссылка на сообщение
Поделиться на другие сайты

А если было отключено, то такой номер не пройдет в вашем случае. 

 

По расшифровке:
 
При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет.
Ссылка на сообщение
Поделиться на другие сайты
Александр Баханков

 

А если было отключено, то такой номер не пройдет в вашем случае. 

 

По расшифровке:
 
При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет.

 

А если нет коммерческой лицензии на любой из продуктов Антивируса Касперского? Мне не помогут?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...