Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вирус шифровальщик файлов в .xtbl

Дмитрий Назаров

Автор Дмитрий Назаров
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Дмитрий Назаров

Дмитрий Назаров

Опубликовано
Опубликовано
Добрый день! Прошу помощи в лечении (дешифрации) файлов от вируса шифровальщика.
 
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
6A748682D3920B87DFA5|0
на электронный адрес post8881@gmail.com или post24932@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 

 

CollectionLog-2015.07.21-13.34.zip

Roman_Five

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
 
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{D6D33FC8-C7E1-4C9B-8F84-28B5DAF89B29}.exe','');
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{E906E360-AF5B-4288-A06E-1A1904AC6C1D}.exe','');
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{3F3FD6F2-9B67-4910-8FDD-924B8C3C9604}.exe','');
 QuarantineFile('C:\Users\BUHGALTER2\AppData\Local\SmartWeb\*','');
 QuarantineFile('C:\Users\BUHGALTER2\AppData\Local\Microsoft\Extensions\*','');
 QuarantineFile('C:\Program Files\CiPlus-4.5vV12.07\*','');
 QuarantineFile('C:\Program Files\globalUpdate\*','');
 QuarantineFile('C:\Users\BUHGALTER2\AppData\Local\Kometa\*','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\*','');
 DeleteFileMask('C:\ProgramData\KRB Updater Utility\','*', true, '');
 DeleteDirectory('C:\ProgramData\KRB Updater Utility\ ',' ');
 DeleteFileMask('C:\Users\BUHGALTER2\AppData\Local\Kometa\','*', true, '');
 DeleteDirectory('C:\Users\BUHGALTER2\AppData\Local\Kometa\ ',' ');
 DeleteFile('C:\Users\BUHGALTER2\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-11.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-3.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-4.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-7.job','32');
 DeleteFileMask('C:\Program Files\CiPlus-4.5vV12.07\','*', true, '');
 DeleteDirectory('C:\Program Files\CiPlus-4.5vV12.07\ ',' ');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-6.140675.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-7.139783.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-10_user.123702.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-11.140612.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-3.140654.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-4.80093.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5.140103.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5_user.140129.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-6.120477.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-7.139915.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
 DeleteFileMask('C:\Users\BUHGALTER2\AppData\Local\Microsoft\Extensions\','*', true, '');
 DeleteDirectory('C:\Users\BUHGALTER2\AppData\Local\Microsoft\Extensions\ ',' ');
 DeleteFileMask('C:\Users\BUHGALTER2\AppData\Local\SmartWeb\','*', true, '');
 DeleteDirectory('C:\Users\BUHGALTER2\AppData\Local\SmartWeb\ ',' ');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{3F3FD6F2-9B67-4910-8FDD-924B8C3C9604}.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{3F3FD6F2-9B67-4910-8FDD-924B8C3C9604}','32');
 DeleteFile('C:\Windows\system32\Tasks\{D6D33FC8-C7E1-4C9B-8F84-28B5DAF89B29}','32');
 DeleteFile('C:\Windows\system32\Tasks\{E906E360-AF5B-4288-A06E-1A1904AC6C1D}','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{E906E360-AF5B-4288-A06E-1A1904AC6C1D}.exe','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{D6D33FC8-C7E1-4C9B-8F84-28B5DAF89B29}.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 2).
+ логи MBAM и ADwCleaner

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...