Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
появилось сообщение на рабочем столе, что файлы зашифрованы. все файлы переименовались в непонятный набор символов с форматом .xtbl
На рабочем столе(как и в других папках) появились файлы readme.txt с вот таким содержанием:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
7563BC7E39E7795BB97D|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
7563BC7E39E7795BB97D|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

прикреплю фаил readme и сканирование логов.

README10.txt

CollectionLog-2015.07.14-23.05.zip

Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Опубликовано (изменено)

После выполнения первого скрипта пк перезагрузился и после включения не работает интернет. Выходит окно подключение через wan miniport и выдаёт ошибку. Это нормально?

вот что мне прислали с newvirus@kaspersky.com
Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"


[KLAN-2973617171]

CollectionLog-2015.07.15-20.59.zip

Изменено пользователем Korvin1992
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
2015-07-14 22:08 - 2015-07-14 22:08 - 03148854 _____ C:\Users\Дмитрий\AppData\Roaming\84E80E8E84E80E8E.bmp
2015-07-14 22:08 - 2015-07-14 22:08 - 00000893 _____ C:\Users\Дмитрий\Desktop\README9.txt
2015-07-14 22:08 - 2015-07-14 22:08 - 00000893 _____ C:\Users\Дмитрий\Desktop\README8.txt
2015-07-14 22:08 - 2015-07-14 22:08 - 00000893 _____ C:\Users\Дмитрий\Desktop\README7.txt
2015-07-14 22:08 - 2015-07-14 22:08 - 00000893 _____ C:\Users\Дмитрий\Desktop\README6.txt
2015-07-14 22:08 - 2015-07-14 22:08 - 00000893 _____ C:\Users\Дмитрий\Desktop\README5.txt
2015-07-14 22:08 - 2015-07-14 22:08 - 00000893 _____ C:\Users\Дмитрий\Desktop\README4.txt
2015-07-14 22:08 - 2015-07-14 22:08 - 00000893 _____ C:\Users\Дмитрий\Desktop\README3.txt
2015-07-14 22:08 - 2015-07-14 22:08 - 00000893 _____ C:\Users\Дмитрий\Desktop\README2.txt
2015-07-14 22:08 - 2015-07-14 22:08 - 00000893 _____ C:\Users\Дмитрий\Desktop\README10.txt
2015-07-14 21:59 - 2015-07-15 18:54 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-14 21:59 - 2015-07-15 18:54 - 00000000 __SHD C:\ProgramData\Windows
2015-06-30 11:28 - 2015-05-31 16:59 - 00000000 ____D C:\Users\Дмитрий\AppData\Local\Kometa
2015-07-14 22:08 - 2015-07-14 22:08 - 3148854 _____ () C:\Users\Дмитрий\AppData\Roaming\84E80E8E84E80E8E.bmp
2015-07-14 21:08 - 2015-07-14 21:08 - 3148854 _____ () C:\Users\Дмитрий\AppData\Roaming\8A81204C8A81204C.bmp
2015-05-14 18:37 - 2015-05-14 18:37 - 0442896 _____ () C:\Users\Дмитрий\AppData\Roaming\data13.dat
C:\Users\Дмитрий\AppData\Local\Temp\jre-8u45-windows-au.exe
C:\Users\Дмитрий\AppData\Local\Temp\KB1D98E128B95D89CD.exe
C:\Users\Дмитрий\AppData\Local\Temp\KB70345DB4C6FF2889.exe
C:\Users\Дмитрий\AppData\Local\Temp\KBE74869A6A868D07.exe
C:\Users\Дмитрий\AppData\Local\Temp\mediaget-uninstaller.exe
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Опубликовано (изменено)

Печально(можно фооматировать?

Изменено пользователем Korvin1992
Опубликовано

Можно просто удалить зашифрованное в таком случае.

 

Все новое шифроваться не будет

Опубликовано

а если я скопирую зашифрованные файлы на носитель? вдруг в будущем появится расшифровщик. может что нибудь из этого выйти? 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kiddr
      Автор kiddr
      Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:   "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 1E05A087200D94333D18|0 на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."   All the important files on your computer were encrypted. To decrypt the files you should send the following code: 1E05A087200D94333D18|0 to e-mail address decodefile001@gmail.com or decodefile002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый.    Прикрепляю файлы логов, отчет антивируса и ветку реестра.  
      Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"
      CollectionLog-2015.09.25-10.15.zip
      cureit.rar
      Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rar
    • klastercomp
      Автор klastercomp
      Здравствуйте. На моем компьютере зашифровались файлы в расширение .xtbl От вирусов компьютер почистил. Помогите расшифровать файлы.
      CollectionLog-2015.09.28-15.27.zip
    • Владислав Карачурин
      Автор Владислав Карачурин
      Здравствуйте!
      Прошу помощи. Одна надежда на вас; ни одна утилита с оффициального сайта Касперского не подходит..
      Зашифровались все важные для меня файлы на диске С, там очень важная информация doc, для работы необходимая
       
      На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)
      А все файлы зашифровались в белиберду с расширением.xtbl,
      например вот: P4KZRt7EoBBd3CY3I-2LQVM2OL+-M2MAoNoNujqrXEY=.97C2755E910EF2E38D31.xtbl
       
      В многочисленных текстовиках созданных вирусом пишется вот это:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      97C2755E910EF2E38D31|0
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      97C2755E910EF2E38D31|0
      to e-mail address decode010@gmail.com или decode1110@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
       
       
      В дополнение к вложениям вот ссылка на файлообменник https://yadi.sk/d/IhQEAOdqjHHBM  ; выложил тудазашифрованный файл, тхт созданный вирусом 
      Очень жду вашей помощи.
      Заранее огромное спасибо.
      CollectionLog-2015.09.24-01.32.zip
    • Алексей Байгашев
      Автор Алексей Байгашев
      Здравствуйте! Месяц назад принесли ноутбук мои знакомые, сказали что фотки не открываются, я посмотрел и увидел что они переименовались в формат *.xtbl проверил на вирусы, нашел примерно 5 штук, удалил. Потом почитал статью что их нельзя удалять, восстановил точку до того когда проверял на вирусы. Сейчас пишу Вам. Какие мои действия в данный момент?
      README8.txt
      ipc.log
    • falc0n
      Автор falc0n
      Вирус зашифровал файлы на компьютере, расширение у зашифрованных файлов .xtbl. На рабочем столе красная надпись предупреждающая об этом. в текстовом файле информация от злоумышленников (в прикрепленных файлах)
      README1.txt
      CollectionLog-2015.09.21-14.04.zip
×
×
  • Создать...