Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Опять xtbl RectorDecryptor.2.6.35.0_25.07.2015_13.00.52

assistant
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\User\AppData\Roaming\Gameo\gameo.dat','');
QuarantineFile('C:\Users\User\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
DelBHO('{ed8e593d-1965-4e45-9d55-d56162dcde14}');
QuarantineFile('C:\Program Files\browse pulse\Extensions\ed8e593d-1965-4e45-9d55-d56162dcde14.dll','');
SetServiceStart('Update Mgr browsepulse', 4);
DeleteService('Update Mgr browsepulse');
SetServiceStart('Service Mgr browsepulse', 4);
DeleteService('Service Mgr browsepulse');
QuarantineFile('C:\Program Files\Common Files\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\updater.exe','');
QuarantineFile('C:\ProgramData\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugincontainer.exe','');
TerminateProcessByName('c:\program files\common files\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\updater.exe');
QuarantineFile('c:\program files\common files\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\updater.exe','');
TerminateProcessByName('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugincontainer.exe');
TerminateProcessByName('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\8\plugin.exe');
QuarantineFile('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\8\plugin.exe','');
TerminateProcessByName('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\2\plugin.exe');
TerminateProcessByName('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\6\plugin.exe');
QuarantineFile('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\6\plugin.exe','');
TerminateProcessByName('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\3\plugin.exe');
QuarantineFile('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\3\plugin.exe','');
TerminateProcessByName('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\7\plugin.exe');
QuarantineFile('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\7\plugin.exe','');
QuarantineFile('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\5\plugin.exe','');
DeleteFile('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\5\plugin.exe','32');
DeleteFile('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\7\plugin.exe','32');
DeleteFile('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\3\plugin.exe','32');
DeleteFile('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\6\plugin.exe','32');
DeleteFile('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\2\plugin.exe','32');
DeleteFile('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugins\8\plugin.exe','32');
DeleteFile('c:\programdata\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugincontainer.exe','32');
DeleteFile('c:\program files\common files\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\updater.exe','32');
DeleteFile('C:\ProgramData\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\plugincontainer.exe','32');
DeleteFile('C:\Program Files\Common Files\5b4b2b13-bc3c-4690-a9ac-2f28c7e74c15\updater.exe','32');
DeleteFile('C:\Program Files\browse pulse\Extensions\ed8e593d-1965-4e45-9d55-d56162dcde14.dll','32');
DeleteFile('C:\Users\User\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\User\AppData\Roaming\Gameo\gameo.exe','32');
DeleteFile('C:\Users\User\AppData\Roaming\Gameo\gameo.dat','32');
DeleteFile('C:\Windows\system32\Tasks\gameo_update','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

  • 2 недели спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Денис Перевалов
      Зашифрованы файлы в формате .xtbl
      Автор Денис Перевалов
      На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков 
      А все файлы зашифровались в белиберду с расширением.xtbl,
      например вот: rfWw3-qCPp9sWKr9aa4ILQS3uyuXN75kcQ3O-LOxiwREmqXeHx8PsUr3a9GY1ELh.xtbl
       
      В текстовиках созданных вирусом пишется вот это:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      82C551F386DC56F5EF49|0
      на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      82C551F386DC56F5EF49|0
      to e-mail address deshifrovka01@gmail.com or deshifrovka@india.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
      CollectionLog-2015.02.20-17.22.zip
    • dmitriy.avp
      Ваши файлы были зашифрованы .xtbl
      Автор dmitriy.avp
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      FAA6F54ADA7AFAED3A44|0
      на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
      Добрый день ! Вот такая штука, по всему экрану и в файлах .txt.
       
      p.s тему создал только здесь. Очень надеюсь на вашу помощь.
      CollectionLog-2015.02.11-13.56.zip
    • askettt
      все файлы в формате xtbl
      Автор askettt
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: D8326B3ABF448E7DF4EF|0 на электронный адрес decoder1112@gmail.com или deshifrovka@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: D8326B3ABF448E7DF4EF|0 to e-mail address decoder1112@gmail.com or deshifrovka@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      отчет от автологера
      CollectionLog-2015.02.20-13.43.zip
    • zekovki
      Большинство файлов на ПК зашифровано в формат .xtbl
      Автор zekovki
      Доброго времени суток. Большинство файлов на ПК зашифровано в формат .xtbl. Везде по натыканы файлы Readme* (где * - это цифра, как правило, от 1 до 10) следующего содержания: "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 63BDD96C523014549899|0 на электронный адрес decoder1112@gmail.com или deshifrovka@india.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации." Вместо картинки рабочего стола висит картинка с надписью:"ВНИМАНИЕ! Все важные фалы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков."
      CollectionLog-2015.02.19-20.53.zip
    • madwhip
      Произошло нападение вредоносного ПО
      Автор madwhip
      Включил компьютер, после чего увидел на рабочем столе измененную заставку где было написано "на вашем компьютере все файлы были зашифрованы , если хотите их разблокировать пришлите деньги". Все файлы были переименованы и изменен формат "xtbl".
      CollectionLog-2015.02.09-20.11.zip
×
×
  • Создать...