Перейти к содержанию

зашифрованы файлы decode010@gmail.com


Рекомендуемые сообщения

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
3AD41CD8A5414F5E46DC|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

Спасибо за помощь

CollectionLog-2015.07.13-09.01.zip

Изменено пользователем nic_nos
Ссылка на комментарий
Поделиться на другие сайты

mobogenie разных мастей удалите через Установку программ

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Pay-By-Ads\Yahoo! Search\1.3.24.4\dsrlte.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\Vkmusicdownloader.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\Dorrible\Ribble\d.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Program Files (x86)\ver6BlockAndSurf\J6BlockAndSurfR79.exe','');
DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{FB4F6285-4C32-49F2-950F-A5998F9CEC6C}');
DelBHO('{50F4150A-48B2-417A-BE4C-C83F580FB904}');
QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.resworb-mooronik.bat','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Admin\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\ProgramData\Microsoft Help\Rgstrtn.lck','');
QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','');
DeleteService('QMUdisk');
QuarantineFile('C:\WINDOWS\system32\drivers\screentk.sys','');
DeleteService('screentk');
DeleteService('BDMWrench_x64');
SetServiceStart('MobogenieService', 4);
DeleteService('MobogenieService');
QuarantineFile('C:\Program Files (x86)\Blazers\Watsvc.exe','');
QuarantineFile('D:\IQIYI Video\Common\Accelerator\VideoInfoExtract.dll','');
QuarantineFile('D:\IQIYI Video\Common\Accelerator\IEHelper.dll','');
TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogenieservice.exe');
TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogeniep2sp.exe');
TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogeniehelper.exe');
DeleteFile('c:\program files (x86)\mobogenie3\mobogeniehelper.exe','32');
DeleteFile('c:\program files (x86)\mobogenie3\mobogeniep2sp.exe','32');
DeleteFile('c:\program files (x86)\mobogenie3\mobogenieservice.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll','32');
DeleteFile('D:\IQIYI Video\Common\Accelerator\IEHelper.dll','32');
DeleteFile('D:\IQIYI Video\Common\Accelerator\VideoInfoExtract.dll','32');
DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench_x64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\screentk.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TS888x64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys','32');
DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','32');
DeleteFile('C:\Users\Admin\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
DeleteFile('C:\Users\Admin\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.resworb-mooronik.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svgddqrcxi');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\plugins\FileSmash\QMSoftExt.dll','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Program Files (x86)\ver6BlockAndSurf\J6BlockAndSurfR79.exe','32');
DeleteFile('C:\WINDOWS\Tasks\BlockAndSurf Update.job','64');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\WINDOWS\system32\Tasks\BlockAndSurf Update','64');
DeleteFile('C:\WINDOWS\system32\Tasks\kbrowser-updater-utility','64');
DeleteFile('C:\Users\Admin\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\nethost task','64');
DeleteFile('C:\Users\Admin\AppData\Roaming\Dorrible\Ribble\d.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Ribble','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Safebrowser','64');
DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Vkmusicdownloader','64');
DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\Vkmusicdownloader.exe','32');
DeleteFile('C:\Program Files (x86)\Pay-By-Ads\Yahoo! Search\1.3.24.4\dsrlte.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Yahoo! Search','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

KLAN-2966509879

exe.erolpxei.bat

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

Watsvc.exe

Вредоносный код в файле не обнаружен.

 

ClearLNK-13.07.2015_14-52.log

CollectionLog-2015.07.13-15.03.zip

Ссылка на комментарий
Поделиться на другие сайты


Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

я так понимаю, что восстановить все "закодированные" мультимедиа и 1С файлы простым путем не получится, только теневыми копиями? 

AdwCleanerR1.txt

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты

я так понимаю

правильно понимаете

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

 

 


а всяческие декрипторы в вашего сайта пока не умеют с ним бороться?
Тот, что якобы умеет, раздает техподдержка обладателям действующей лицензии на любой из коммерческих продуктов

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README9.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README8.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README7.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README6.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README5.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README4.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README3.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README2.txt
2015-07-09 00:57 - 2015-07-09 00:57 - 00000893 _____ C:\Users\Admin\Desktop\README10.txt
2015-07-08 20:19 - 2015-07-09 10:27 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-08 20:19 - 2015-07-09 10:27 - 00000000 __SHD C:\ProgramData\Windows
HKLM-x32\...\Run: [wscript.exe] => wscript.exe //B C:\WINDOWS\win.vbs
HKLM-x32\...\Run: [InstallUpdate] => [X]
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-2867805189-1416351308-2585298348-1002\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-2867805189-1416351308-2585298348-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=715bcf83603cc381cb2dd7db338b6697&text= <==== ATTENTION
FF Homepage: user_pref("browser.startup.homepage","hxxp://searchsimple-a.akamaihd.net/?affID=cp-9050-5559");
FF SelectedSearchEngineuser_pref("browser.search.selectedEngine","Yahoo! Search");: user_pref("browser.search.selectedEngine","Yahoo! Search");
FF DefaultSearchEngineuser_pref("browser.search.defaultenginename","Yahoo! Search");: user_pref("browser.search.defaultenginename","Yahoo! Search");
FF Keyword.URL: user_pref("keyword.URL","hxxp://searchsimple-a.akamaihd.net/?q=");
FF NewTab: user_pref("browser.newtab.url","hxxp://searchsimple-a.akamaihd.net/?m=tab&affID=cp-9050-5559");
FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
FF Plugin-x32: @qq.com/npAndroidAssistant -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll No File
FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\dsrlte1.xml [2015-06-02]
FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\yandex.ru-143856.xml [2015-02-10]
Task: {6D8D0433-C548-440B-8A5F-74BE522A806C} - \Vkmusicdownloader No Task File <==== ATTENTION
Task: {8E8CB08D-9293-4E07-876F-09A144868441} - \kbrowser-updater-utility No Task File <==== ATTENTION
HKU\S-1-5-21-2867805189-1416351308-2585298348-1002\Control Panel\Desktop\\Wallpaper -> C:\Users\Admin\AppData\Roaming\AB135500AB135500.bmp
FirewallRules: [TCP Query User{03C8DF55-B9E7-48B3-9EDF-4ADB0867B8AA}C:\program files (x86)\mobogenie3\mobogeniehelper.exe] => (Block) C:\program files (x86)\mobogenie3\mobogeniehelper.exe
FirewallRules: [UDP Query User{617B331E-B673-491C-9FCC-D9790FAFE5D0}C:\program files (x86)\mobogenie3\mobogeniehelper.exe] => (Block) C:\program files (x86)\mobogenie3\mobogeniehelper.exe
FirewallRules: [{CD0875C0-8E92-41F6-ACEF-51D395035242}] => (Allow) D:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{38C13BB4-01DE-4FFB-B4B6-F34CF45BD6EC}] => (Allow) D:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{B78EE8AF-AD0D-468F-8872-7AC7BE34A7ED}] => (Allow) D:\IQIYI Video\Common\HCDNClient.exe
FirewallRules: [{A4BDB9A3-1242-49AA-A8E5-3A3A1B6C25AB}] => (Allow) D:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{F886ED67-AF1F-4781-BDDA-00B1E57F2624}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{7E9174F3-0F6A-4D42-9922-A6B128CB9274}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{BCB42DE5-E8A4-4A8E-940E-C15FBDF0337D}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{3942381E-B98C-42FB-AC24-9C1EE6D4E8CE}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{1DAC9BB5-1FD8-435A-821A-FCC6D6D0BDF3}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{4B656EAE-5DA1-41FE-B8D5-FB09327C784D}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{3D7AD44F-8F08-49E6-880A-A589178793DF}] => (Allow) C:\Users\Admin\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{1DD01912-0FDC-4198-AA51-F8D1BBAFEA55}] => (Allow) D:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{B70B58E9-9568-44FB-AADB-743E24444BB1}] => (Allow) D:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{0A9CAA21-4EF0-4057-85A8-76BB824A8645}] => (Allow) D:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{565C1000-965C-4582-B3C7-D76BF38B7CC5}] => (Allow) D:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{862D9C26-A51D-46D5-AC10-C9943D4A2A05}] => (Allow) C:\Users\Admin\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe
FirewallRules: [{98EBC34F-1FBF-40F8-B459-B09708418DCB}] => (Allow) D:\IQIYI Video\LStyle\GeePlayer\GeePlayer.exe
FirewallRules: [{DB3FA845-F4F6-4E48-9E64-7E4592C0D04C}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
FirewallRules: [{98D0FB34-F23B-42EA-A198-D35C7535BAA2}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

 

 


какой шанс на то, что декриптор справится?
об этом известно только техподдержке.

 

Мы Вам больше ничем не сможем помочь

Ссылка на комментарий
Поделиться на другие сайты

 это звучало как приговор :lol:  спасибо за помощь 


итак, по новым шифровальщикам. техподдержка работает по каждому случаю отдельно.

Если у вас есть тело вируса, не зараженный файл и он же зараженный, то можно попытаться через личный кабинет техподдержки, при наличии активного ключа антивируса касперского, сдать все файлы для проведения анализа с целью выявить ваш собственный ключ. Шанс не велик, времени займет тоже не мало, но если у вас там фотки за 100 лет, то, я думаю, стоит попробовать. Либо платить 15000, универсального решения пока нет.

Полезные программы бы так писали, как эти локеры пишут.

Ссылка на комментарий
Поделиться на другие сайты

А файл Readme.txt у Вас не просили? Специально один не удаляли на Рабочем столе

про ридми, на удивление, не спросили, хотя, безусловно, это необходимо. Если что, ключ есть в первом посте, этого, я считаю, будет достаточно.

Сегодня займемся поиском одинаковых целых и битых файлов. Ну и отправкой в службу.

По прогрессу отпишусь, т.к. тема с .XTBL принимает серьезные масштабы

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...