Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Вирус шифровальщик файлов в .xtbl

Дмитрий Назаров

Автор Дмитрий Назаров
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Дмитрий Назаров Новичок

Дмитрий Назаров

Опубликовано
Опубликовано
Добрый день! Прошу помощи в лечении (дешифрации) файлов от вируса шифровальщика.
 
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
6A748682D3920B87DFA5|0
на электронный адрес post8881@gmail.com или post24932@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 

 

CollectionLog-2015.07.21-13.34.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
 
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{D6D33FC8-C7E1-4C9B-8F84-28B5DAF89B29}.exe','');
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{E906E360-AF5B-4288-A06E-1A1904AC6C1D}.exe','');
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{3F3FD6F2-9B67-4910-8FDD-924B8C3C9604}.exe','');
 QuarantineFile('C:\Users\BUHGALTER2\AppData\Local\SmartWeb\*','');
 QuarantineFile('C:\Users\BUHGALTER2\AppData\Local\Microsoft\Extensions\*','');
 QuarantineFile('C:\Program Files\CiPlus-4.5vV12.07\*','');
 QuarantineFile('C:\Program Files\globalUpdate\*','');
 QuarantineFile('C:\Users\BUHGALTER2\AppData\Local\Kometa\*','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\*','');
 DeleteFileMask('C:\ProgramData\KRB Updater Utility\','*', true, '');
 DeleteDirectory('C:\ProgramData\KRB Updater Utility\ ',' ');
 DeleteFileMask('C:\Users\BUHGALTER2\AppData\Local\Kometa\','*', true, '');
 DeleteDirectory('C:\Users\BUHGALTER2\AppData\Local\Kometa\ ',' ');
 DeleteFile('C:\Users\BUHGALTER2\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-11.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-3.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-4.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-7.job','32');
 DeleteFileMask('C:\Program Files\CiPlus-4.5vV12.07\','*', true, '');
 DeleteDirectory('C:\Program Files\CiPlus-4.5vV12.07\ ',' ');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-6.140675.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-7.139783.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-10_user.123702.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-11.140612.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-3.140654.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-4.80093.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5.140103.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5_user.140129.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-6.120477.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-7.139915.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
 DeleteFileMask('C:\Users\BUHGALTER2\AppData\Local\Microsoft\Extensions\','*', true, '');
 DeleteDirectory('C:\Users\BUHGALTER2\AppData\Local\Microsoft\Extensions\ ',' ');
 DeleteFileMask('C:\Users\BUHGALTER2\AppData\Local\SmartWeb\','*', true, '');
 DeleteDirectory('C:\Users\BUHGALTER2\AppData\Local\SmartWeb\ ',' ');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{3F3FD6F2-9B67-4910-8FDD-924B8C3C9604}.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{3F3FD6F2-9B67-4910-8FDD-924B8C3C9604}','32');
 DeleteFile('C:\Windows\system32\Tasks\{D6D33FC8-C7E1-4C9B-8F84-28B5DAF89B29}','32');
 DeleteFile('C:\Windows\system32\Tasks\{E906E360-AF5B-4288-A06E-1A1904AC6C1D}','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{E906E360-AF5B-4288-A06E-1A1904AC6C1D}.exe','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{D6D33FC8-C7E1-4C9B-8F84-28B5DAF89B29}.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 2).
+ логи MBAM и ADwCleaner
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      Автор CreativeArch
      Log.7z
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)

    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
    • Olga650
      вирус шифровальщик (.1mJ3g1TA4)
      Автор Olga650
      Addition.txtFRST.txtТабель 2025 (.1mJ3g1TA4)  ссылка удалена облако с вирусом (без пароля)
      Отчёт Касперского.txt 1mJ3g1TA4.README.txt  Поймали вирус шифровальщик 26.02. Антивирус не стоял. После был установлен Касперский стандарт. Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы, а также ссылки на них.
       
    • Максим1985
      Вирус повредил все файлы docx, xlsx
      Автор Максим1985
      Добрый день!
      Столкнулся с каким-то вредоносным ПО, которое повредило все файлы с расширением .docx и .xlsx созданные до 28.03.2025. При попытке открытия файлов MS Office выдаёт сообщение "приложением word в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён.
      Сканировал Kaspersky Virus Removal Tool и Dr.Web CureIt, вирусов не нашел.
      Действий по вымогательству (если это шифровальщик) не было.
      Логи прикрепляю.
      Была уже похожая тема (
      ), но все же может получится исправить.
      CollectionLog-2025.04.02-10.58.zip Телефон аварийная ситуация.docx Ведомость электропотребления 2025г (1).xlsx
×
×
  • Создать...