Перейти к содержанию

Все файлы зашифрованы.xtbl

ArtMaster7
 Поделиться

Рекомендуемые сообщения

ArtMaster7

ArtMaster7

Опубликовано
Опубликовано (изменено)

Словил вирус!


Теперь маюсь))


Помогите!


 


Ваши файлы были зашифрованы.


Чтобы расшифровать их, Вам необходимо отправить код:

3F44665B8DB3727501C6|0

на электронный адрес decode010@gmail.com или decode1110@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

KLAN-3000739367 (отправил зашифрованные файлы)

CollectionLog-2015.07.24-19.50.zip

Изменено пользователем ArtMaster7
ArtMaster7

ArtMaster7

Опубликовано
  • Автор
Опубликовано (изменено)

Добрый день. Для получения помощи от консультантов необходимо выполнить Порядок оформления запроса о помощи и прикрепить логи.

исправил...и дополнил

Изменено пользователем ArtMaster7
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\miuitab\browerwatchff.dll','');
QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\7231\Updater.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-7.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-6.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-5.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-3.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-11.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-10.exe','');
QuarantineFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-7.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\itghhbie\etbdudis.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\VOPackage\VOPackage.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.bat','');
QuarantineFile('C:\Program Files\Google\Chrome\Application\chrome.bat','');
QuarantineFile('C:\Program Files\Internet Explorer\iexplore.bat','');
TerminateProcessByName('c:\program files\661ac600-1436849872-11e0-bfbb-f46d0432f094\knso5fa9.tmp');
QuarantineFile('c:\program files\661ac600-1436849872-11e0-bfbb-f46d0432f094\knso5fa9.tmp','');
DeleteFile('c:\program files\661ac600-1436849872-11e0-bfbb-f46d0432f094\knso5fa9.tmp','32');
DeleteFile('c:\Program Files\sayescoupon\sayescoupon.dll','32');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat','32');
DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\Kometa\Application\kometa.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\VOPackage\VOPackage.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\itghhbie\etbdudis.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Алекс Гордон');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Update');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-6.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-6.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-7.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-7.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-10.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-10_user.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-11.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-11.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-3.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-3.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-5.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-5.job','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-5_user.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-6.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-6.job','32');
DeleteFile('C:\Program Files\Shop and Save Up\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-7.exe','32');
DeleteFile('C:\Windows\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-7.job','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\7231\Updater.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-6','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-1-7','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-11','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-3','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-5','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-6','32');
DeleteFile('C:\Windows\system32\Tasks\84a9b033-f7a2-428f-b442-77b2c7a7dbb5-7','32');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
DeleteFile('C:\Program Files\miuitab\browerwatchff.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

ArtMaster7

ArtMaster7

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

chrome.bat - not-a-virus:AdWare.BAT.Clicker.af

Это файл от рекламной системы. Детектирование файла будет добавлено в    следующее обновление расширенного набора баз. Подробная информация о    расширенных базах:http://www.kaspersky.ru/extraavupdates

iexplore.bat
knso5fa9.tmp

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

VOPackage.exe - Trojan-Downloader.Win32.Genome.tjri

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ru http://www.viruslist.ru"
 

 

KLAN-3001670688

 

ClearLNK-24.07.2015_21-44.log

CollectionLog-2015.07.24-22.15.zip

thyrex

thyrex

Опубликовано
Опубликовано

Удалите в МВАМ все найденное

ArtMaster7

ArtMaster7

Опубликовано
  • Автор
Опубликовано (изменено)

выполнил, удалил, но все попало в карантин...так должно быть?

Изменено пользователем ArtMaster7
thyrex

thyrex

Опубликовано
Опубликовано

Да.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
B92LqRQ.png
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Roman_Five

Roman_Five

Опубликовано
Опубликовано

удалите через панель управления или CCleaner

> Chrome Search (HKLM\...\{2AEF02C3-5159-4C81-A688-8D954F0DEE56}_NewSearch) (Version:  - )
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

HKU\S-1-5-21-2943002770-1140832744-391665118-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6033042a61e828b001dab0e10494e8b2&text={searchTerms}
HKU\S-1-5-21-2943002770-1140832744-391665118-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6033042a61e828b001dab0e10494e8b2&text={searchTerms}
SearchScopes: HKU\S-1-5-21-2943002770-1140832744-391665118-1000 -> 0633EE93-D776-472f-A0FF-E1416B8B2E3A URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD5000AAKS-00E4A0_WD-WCATR786579565795&ts=1436852422&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2943002770-1140832744-391665118-1000 -> Moikrug URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD5000AAKS-00E4A0_WD-WCATR786579565795&ts=1436852422&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2943002770-1140832744-391665118-1000 -> Software URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD5000AAKS-00E4A0_WD-WCATR786579565795&ts=1436852422&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2943002770-1140832744-391665118-1000 -> Yandex URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD5000AAKS-00E4A0_WD-WCATR786579565795&ts=1436852422&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2943002770-1140832744-391665118-1000 -> yandex.ru-141921 URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD5000AAKS-00E4A0_WD-WCATR786579565795&ts=1436852422&type=default&q={searchTerms}
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-2943002770-1140832744-391665118-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
DefaultPrefix: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6033042a61e828b001dab0e10494e8b2&text= <==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Extension: Kino-Filmov.Net Toolbar - C:\Users\Пользователь\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\kino-filmov.net.xpi [2010-08-08]
FF HKU\S-1-5-21-2943002770-1140832744-391665118-1000\...\Firefox\Extensions: [{b64982b1-d112-42b5-b1e4-d3867c4533f8}] - C:\ProgramData\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension
CHR dev: Chrome dev build detected! <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value
CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ppgjgejknhoafbgicpmmaiiikobkpfjm] - C:\Users\Пользователь\AppData\Local\Downandsave\Chrome\Downandsave.crx [Not Found]
OPR Extension: (No Name) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\ablgnpngfaaficpckehadaljnjgjkhbi [2015-07-14]
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe http://www.istartsurf.com/?type=sc&ts=1436852359&z=602ad297b9fcdb5609cab9eg3zfc4q2b5w1o8c3zew&from=face&uid=WDCXWD5000AAKS-00E4A0_WD-WCATR786579565795
S3 4F9790DCB8466A95; \??\C:\Windows\TEMP\5A67AB0.sys [X]
S3 4F9792CA033CD895; \??\C:\Windows\TEMP\52DA78C.sys [X]
2015-07-14 20:28 - 2015-07-14 20:28 - 04320054 _____ C:\Users\Пользователь\AppData\Roaming\07A6B9B707A6B9B7.bmp
2015-07-14 15:45 - 2015-07-14 19:20 - 00000258 __RSH C:\Users\Все пользователи\ntuser.pol
2015-07-14 15:45 - 2015-07-14 19:20 - 00000258 __RSH C:\ProgramData\ntuser.pol
2015-07-14 15:45 - 2015-07-14 15:45 - 00000008 __RSH C:\Users\Пользователь\ntuser.pol
2015-07-14 09:39 - 2015-07-15 15:04 - 00000000 ____D C:\Users\Пользователь\AppData\Local\SmartWeb
2015-07-14 15:44 - 2015-07-24 21:44 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kometa
2015-07-14 08:59 - 2015-07-15 15:04 - 00000000 ____D C:\Users\Пользователь\AppData\Local\Kometa
2015-07-14 08:59 - 2015-07-14 08:59 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета
2011-08-12 22:23 - 2013-01-13 18:01 - 0000256 _____ () C:\ProgramData\ticno.lic
2014-11-13 07:00 - 2014-11-13 07:00 - 6000640 _____ () C:\Program Files\GUT8824.tmp
2015-07-14 20:28 - 2015-07-14 20:28 - 4320054 _____ () C:\Users\Пользователь\AppData\Roaming\07A6B9B707A6B9B7.bmp
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Task: {E6923AF1-0A34-49BD-AF54-20DC0E44A7CE} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
Task: {A59D91A7-B234-4C3A-A482-B274C318C7BD} - \APSnotifierPP1 No Task File <==== ATTENTION
Task: {0B91A11F-6ACE-4F10-928C-EBC4880FD26E} - \APSnotifierPP3 No Task File <==== ATTENTION
Task: {11EFC75C-C7F2-49FC-91F1-A31EC1EBBC2F} - \APSnotifierPP2 No Task File <==== ATTENTION

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

+ приложите лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

thyrex

thyrex

Опубликовано
Опубликовано

Удалите в AdwCleaner все, кроме записей от mail.ru

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Djamper
      Файлы зашифрованы Trojan.Encoder.858
      Автор Djamper
      Доброе время суток! У меня произошло шифрование моих файлов в результате действия вируса,
      но это произошло очень давно(в 2015). С начала я не обратил на это внимания, а потом когда я захотел посмотреть фотографии они были уже в формате xtbl.
      CollectionLog-2018.04.02-13.11.zip
    • Андрей Феденёв
      шифровальщик
      Автор Андрей Феденёв
      как расшифровать файлы на компьютере которые сейчас зашифрованы под XTBL файлом или кто их может помочь расшифровать мне. Вот один из зашифрованных файлов.
       

      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает техническую поддержку.
    • th704
      Помогите расшифровать xtbl
      Автор th704
      Здравствуйте.
      Знакомые принесли ноут.
      На нем зашифрованные файлы.
      Теперь они с расширением xtbl.
      Помогите пожалуйста с дешифратором.
      Образец и требования прилагаются в архиве.
      Спасибо.
      xtbl crypted.rar
    • Женёк Петров
      Здравствуйте вирус зашифровал все фотографии
      Автор Женёк Петров
      Открыл какое то не известное сообщение, после чего более 10 тыс фотографии изменились в формат xtbl и так же были требования отправьте деньги и тогда расшифрует. Пробовал расшифровать через вашу утилиту но пишет ключ не найден.
      README1.txt.txt
      CollectionLog-2019.11.05-16.57.zip
    • Александр Филимонченко
      [РЕШЕНО] зашифрован в формате 2C3626463890F5A88BAE.xtbl
      Автор Александр Филимонченко
      Помогите расшифровать! Или подскажите куда обратиться. Заранее спасибо.
      зашифрованы.rar
×
×
  • Создать...