Перейти к содержанию

Прошу помощи в расшифровке xtbl

wildlife77
 Share

Рекомендуемые сообщения

wildlife77 Новичок

wildlife77

Опубликовано
Опубликовано

Заразились вирусом, документы и фото зашифровались в формат xtbl. Комп почистили Cureit название вируса не записали.

Приклепляю логи и зашифрованый файл

n7Pjwaxr0rWp1IorZ6GHgrpDdaSgaiaGgUMm3asPVcw=.zip

CollectionLog-2015.08.19-13.05.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
SearchScopes: HKU\S-1-5-21-670659752-320601404-1390256056-500 -> yandex.ru-192339 URL = hxxp://www.google.ru/search?hl=ru&q={searchTerms}&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=
SearchScopes: HKU\S-1-5-21-670659752-320601404-1390256056-500 -> {117513C1-6909-4230-AD7C-E43D6B6FF3F5} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-670659752-320601404-1390256056-500 -> {27B52AD8-9A07-44EE-9FAB-90E864EEBC2C} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=CLM&o=15427&src=kw&q={searchTerms}&locale=&apn_ptnrs=LE&apn_dtid=YYYYYYYYRU&apn_uid=2f819d26-2e73-4413-baa3-8f9b915d20bc&apn_sauid=48F42DC7-D24A-4123-9B2E-E3171269F9D2
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKLM-x32 - No Name - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} -  No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
Tcpip\..\Interfaces\{E09B5C67-EFD8-48E2-89F0-E51E969EAEC3}: [NameServer] 0.0.0.0 0.0.0.0
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2013-10-06]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2012-10-11]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2012-10-11]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-05-31]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmiboiefncpfjihjdedpaoammipkilla [2013-09-05]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkcpopggjcjkiicpenikeogioednjeac [2012-11-22]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-22]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2012-10-11]
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path/update_url>
2015-08-19 11:41 - 2015-08-19 11:41 - 00000446 __RSH C:\Users\Администратор\ntuser.pol
2015-02-21 09:48 - 2015-02-21 09:48 - 3148854 _____ () C:\Users\Администратор\AppData\Roaming\143990FB143990FB.bmp
2015-04-05 13:36 - 2015-04-05 13:36 - 0087613 _____ () C:\Users\Администратор\AppData\Local\Bron.tok.A12.em.bin
2014-01-18 23:19 - 2013-04-01 12:18 - 0042687 _____ () C:\Users\Администратор\AppData\Local\inetinfo.exe
2015-03-29 16:40 - 2015-03-29 16:40 - 0000051 _____ () C:\Users\Администратор\AppData\Local\Kosong.Bron.Tok.txt
2015-03-30 10:31 - 2015-03-30 10:31 - 0033160 _____ () C:\Users\Администратор\AppData\Local\ListHost12.txt
2014-01-18 23:19 - 2013-04-01 12:18 - 0042687 _____ () C:\Users\Администратор\AppData\Local\lsass.exe
2014-01-18 23:19 - 2013-04-01 12:18 - 0042687 _____ () C:\Users\Администратор\AppData\Local\services.exe
2014-01-18 23:19 - 2013-04-01 12:18 - 0042687 ____N () C:\Users\Администратор\AppData\Local\winlogon.exe
AlternateDataStreams: C:\ProgramData\Temp:16CE60FB
AlternateDataStreams: C:\Users\Администратор\Local Settings:wa
AlternateDataStreams: C:\Users\Администратор\AppData\Local:wa
AlternateDataStreams: C:\Users\Администратор\AppData\Local\Application Data:wa
AlternateDataStreams: C:\Users\Все пользователи\Temp:16CE60FB
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
 
Сделайте лог полного сканирования MBAM (http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/)
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Удалите в MBAM все, кроме:

Файлы: 15
Malware.Trace, C:\Windows\inf\UltraISO.inf, , [96b9882ea9e151e5c5632c6bb94b3dc3], 
PUP.Optional.Rambler.A, C:\Users\Администратор\AppData\Local\Rambler\RamblerUpdater\rupdate_standalone.exe, , [7ad536808109d6600b6d2a2472937090],
Ссылка на комментарий
Поделиться на другие сайты
wildlife77 Новичок

wildlife77

Опубликовано
  • Автор
Опубликовано

 

Удалите в MBAM все, кроме:

Файлы: 15
Malware.Trace, C:\Windows\inf\UltraISO.inf, , [96b9882ea9e151e5c5632c6bb94b3dc3], 
PUP.Optional.Rambler.A, C:\Users\Администратор\AppData\Local\Rambler\RamblerUpdater\rupdate_standalone.exe, , [7ad536808109d6600b6d2a2472937090],

Что далее делать?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Компьютер почистили. Лаборатория Касперского оказывает индивидуальную помощь с этим шифровальщиком, поэтому для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой:

 

1. Несколько зашифрованных файлов в архиве.

2. Файл Readme.txt

3. Номер вашей коммерческой лицензии (http://support.kaspersky.ru/8677#block2).

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Константин agromoll34
      Прошу помощи
      От Константин agromoll34
      У нас сейчас точно такая же проблема, как решить вопрос?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Сергей Комаров
      Поймали шифровальщика, прошу помощи в определении и расшифровке
      От Сергей Комаров
      Добрый день! Сегодня в 3 ночи были зашифрованы все виртуальные машины (hyper-v) и файлы бэкапов на серверах компании.
      Пример зашифрованных файлов и readme прилагаю.
       
      Прошу помощи в определении типа шифровальщика и расшифровке.
      db2a95f2436fe2bc3ce6f2-README.txt Files.zip
    • Marauders666
      Необходима помощь в расшифровке после Mimic
      От Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • Xynire
      HEUR:Trojan.Multi.GenBadur.genw Прошу помощь в Удалении
      От Xynire
      Измучал меня этот троян. Антивирус борется с ним, но после перезагрузки будто ничего не было. Заранее благодарю
    • LamerMan
      Помощь с расшифровкой Elbie Ransomware
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
×
×
  • Создать...