Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 

 

 Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
FAA4417C82D5F25AC88F|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
FAA4417C82D5F25AC88F|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
 
Что делать? Подскажите!

post-35519-0-00702200-1439477024_thumb.jpg

Опубликовано

Всем привет! Недавно произошла беда с моим ноутом. Все файлы были зашифрованы и открыть их уже не возможно. Также имеются текстовые документы вот с таким текстом: 

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
FAA4417C82D5F25AC88F|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
FAA4417C82D5F25AC88F|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
По рекомендациям с этого форума я провел проверку утилитой dr.Web и автоматическим сборщиком логов. Данные о проверке прилагаются.

post-35519-0-41264000-1439562634_thumb.jpg

CollectionLog-2015.08.14-22.16.zip

Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Adm\appdata\roaming\ssleas.exe','');
QuarantineFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\extinst.exe','');
QuarantineFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\config.json','');
QuarantineFile('C:\Users\Adm\AppData\Roaming\jtwuuehd\bidhjwhr.exe','');
QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
DeleteFile('C:\Users\Adm\AppData\Roaming\jtwuuehd\bidhjwhr.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Icaros');
DeleteFile('C:\Windows\system32\Tasks\ExtensionInstallerX_17','32');
DeleteFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\config.json','32');
DeleteFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\extinst.exe','32');
DeleteFile('C:\Users\Adm\appdata\roaming\ssleas.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Опубликовано

Отправил, жду ответа.... простите а что за правила надо еще раз выполнить?


Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Adm\appdata\roaming\ssleas.exe','');
QuarantineFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\extinst.exe','');
QuarantineFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\config.json','');
QuarantineFile('C:\Users\Adm\AppData\Roaming\jtwuuehd\bidhjwhr.exe','');
QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
DeleteFile('C:\Users\Adm\AppData\Roaming\jtwuuehd\bidhjwhr.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Icaros');
DeleteFile('C:\Windows\system32\Tasks\ExtensionInstallerX_17','32');
DeleteFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\config.json','32');
DeleteFile('C:\Users\Adm\local settings\application data\ExtensionInstaller_17\extinst.exe','32');
DeleteFile('C:\Users\Adm\appdata\roaming\ssleas.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[KLAN-3052560194]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

bcqr00007.dat,
bcqr00008.dat,
bidhjwhr.exe,
csrss.exe - Trojan.Win32.VBKrypt.vqwe

Детектирование файлов будет добавлено в следующее обновление.

extinst.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

ssleas.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского


Вот если я правильно вас понял, новые логи

CollectionLog-2015.08.14-23.35.zip

Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
OPR Extension: (mnogoskidki) - C:\Users\Adm\AppData\Roaming\Opera Software\Opera Stable\Extensions\ehnoeapmjohiaoimcmgcokgoinedjgjn [2015-08-13]
OPR Extension: (Куппоинт — бесплатные промокоды) - C:\Users\Adm\AppData\Roaming\Opera Software\Opera Stable\Extensions\elnienecnfdcjgdemhnajjokjbkkppkm [2015-07-27]
2015-08-13 22:08 - 2015-08-13 22:08 - 03148854 _____ C:\Users\Adm\AppData\Roaming\41BD1A0941BD1A09.bmp
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Public\Desktop\README1.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README9.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README8.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README7.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README6.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README5.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README4.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README3.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README2.txt
2015-08-13 22:08 - 2015-08-13 22:08 - 00000893 _____ C:\Users\Adm\Desktop\README10.txt
2015-08-13 11:56 - 2015-08-14 23:02 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-08-13 11:56 - 2015-08-14 23:02 - 00000000 __SHD C:\ProgramData\Windows
2015-08-13 11:20 - 2015-08-13 11:20 - 00371216 _____ C:\Users\Adm\AppData\Roaming\data13.dat
2015-08-14 23:02 - 2015-07-08 15:51 - 00000000 __SHD C:\Users\Adm\AppData\Roaming\jtwuuehd
2015-08-13 23:41 - 2015-07-10 22:44 - 00000000 ____D C:\Users\Adm\AppData\Local\Mnogoskidki
2015-08-13 23:41 - 2015-07-10 22:44 - 00000000 ____D C:\Users\Adm\AppData\Local\Cupoint
2015-08-13 12:06 - 2015-07-10 22:44 - 00000000 ____D C:\Users\Adm\AppData\Local\ExtensionInstaller_17
Task: {25FE5D87-6018-4FA4-81E1-3B78DBED5A89} - \ExtensionInstallerX_17 -> No File <==== ATTENTION
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Опубликовано

С расшифровкой не поможем

Жаль, что теперь делать? может еще куда то можно обратиться?

Опубликовано

Как вариант, восстановить информацию из теневых копий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Владимир В. А.
      Автор Владимир В. А.
      Добрый день!
       
      Windows 7 Pro x64
      Прошу помочь, с очисткой компа от вируса и дешифровкой файлов. Зашел по RDP, подобрал пароль к учетке и через неё зашел на три компа, пошифровал много чего (в том числе загрузочные записи испортил).
      В дальнейшем предполагаю переставить систему.
       
      Addition.txt files.zip FRST.txt
    • duduka
      Автор duduka
      вечером, как оказывается взломали рдп (подобрали пароль) в 20:40
      утром естественно появились текстовые документы с текстом:
       

      и  файлы стали в таком виде.
      файл_нейм.id-B297FBFD.[cheese47@cock.li].ROGER
       
      так же был обнаружен файл payload.exe
       
      есть возможность расшифровать?

      report1.log report2.log
    • decoy4ik
      Автор decoy4ik
      Добрый день, поймали вирус-шифровальщик, есть ли возможность расшифровки? Логи и архив с файлами прикреплен. Файл с требованием к сожалению был сразу удален.Addition.txtFRST.txt
      Desktop.rar
    • Salieri
      Автор Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • aryanatha
      Автор aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
×
×
  • Создать...