Зашифрованы файлы в *.xtbl

[usser]

Здравствуйте!

Подцепил шифровальщик. Получились файлы с расширением .xtbl.

В каждой папке текстовый документ содержания:

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

C7FE32EDB5E1979A9CAD|0

на электронный адрес files1147@gmail.com или post100023@gmail.com

CollectionLog-2015.08.31-01.29.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 StopService('{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}w64');
 StopService('{f0140d89-3c88-497e-896f-f889e74b42b2}w64');
 StopService('{efa349b9-003c-4506-9e55-957c1cff853c}w64');
 StopService('{e168bb47-74a7-440b-bf7d-d17153007d6b}w64');
 StopService('{c393de5d-8149-4434-ab91-01ec8ea15264}w64');
 StopService('{c28516e7-f1f3-4437-81ce-ec213355cd9c}w64');
 StopService('{b52a596e-357b-4007-9a88-5592a17b1be9}w64');
 StopService('{9ba18a1b-2c6c-45d9-9fbe-65697713d97f}w64');
 StopService('{98a55059-ac5d-40d9-81ae-6bff294c9b89}w64');
 StopService('{8e282837-b584-46f4-a220-bfdd4678d061}w64');
 StopService('{71d5e150-c72b-4e5b-a773-e49420251642}w64');
 StopService('{651e31c1-db10-434b-a173-a9b0e6a15ce0}w64');
 StopService('{632916e0-3570-41b8-afb5-b10d86ad94c7}w64');
 StopService('{5eeb83d0-96ea-4249-942c-beead6847053}w64');
 StopService('{5eeb83d0-96ea-4249-942c-beead6847053}Gw64');
 StopService('{55825785-0831-456c-8958-bd781398505d}w64');
 StopService('{4b6b588f-fe6d-43d5-96e6-6583434569cd}w64');
 StopService('{4059f7a9-d023-4137-a1c8-01f0f6fe6110}w64');
 StopService('{397e3208-0393-47ca-9748-370b27e14021}w64');
 StopService('{2f1ed632-8cc1-4969-916a-211c6b0412c1}w64');
 StopService('wpnfd_1_10_0_2');
 StopService('iSafeNetFilter');
 StopService('iSafeKrnlR3');
 StopService('iSafeKrnlMon');
 StopService('iSafeKrnlKit');
 StopService('iSafeKrnl');
 DeleteService('iSafeKrnlBoot');
 DeleteService('BDEnhanceBoost');
 DeleteService('BDAntiExp');
 DeleteService('{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}w64');
 DeleteService('{f0140d89-3c88-497e-896f-f889e74b42b2}w64');
 DeleteService('{efa349b9-003c-4506-9e55-957c1cff853c}w64');
 DeleteService('{e168bb47-74a7-440b-bf7d-d17153007d6b}w64');
 DeleteService('{c393de5d-8149-4434-ab91-01ec8ea15264}w64');
 DeleteService('{c28516e7-f1f3-4437-81ce-ec213355cd9c}w64');
 DeleteService('{b52a596e-357b-4007-9a88-5592a17b1be9}w64');
 DeleteService('{9ba18a1b-2c6c-45d9-9fbe-65697713d97f}w64');
 DeleteService('{98a55059-ac5d-40d9-81ae-6bff294c9b89}w64');
 DeleteService('{8e282837-b584-46f4-a220-bfdd4678d061}w64');
 DeleteService('{71d5e150-c72b-4e5b-a773-e49420251642}w64');
 DeleteService('{651e31c1-db10-434b-a173-a9b0e6a15ce0}w64');
 DeleteService('{632916e0-3570-41b8-afb5-b10d86ad94c7}w64');
 DeleteService('{5eeb83d0-96ea-4249-942c-beead6847053}w64');
 DeleteService('{5eeb83d0-96ea-4249-942c-beead6847053}Gw64');
 DeleteService('{55825785-0831-456c-8958-bd781398505d}w64');
 DeleteService('{4b6b588f-fe6d-43d5-96e6-6583434569cd}w64');
 DeleteService('{4059f7a9-d023-4137-a1c8-01f0f6fe6110}w64');
 DeleteService('{397e3208-0393-47ca-9748-370b27e14021}w64');
 DeleteService('{2f1ed632-8cc1-4969-916a-211c6b0412c1}w64');
 DeleteService('wpnfd_1_10_0_2');
 DeleteService('iSafeNetFilter');
 DeleteService('iSafeKrnlR3');
 DeleteService('iSafeKrnlMon');
 DeleteService('iSafeKrnlKit');
 DeleteService('iSafeKrnl');
 StopService('wpsvc_1.10.0.2');
 StopService('Util SmarterPower');
 StopService('Update SmarterPower');
 StopService('MaintainerSvc7.71.837357');
 StopService('IHProtect Service');
 DeleteService('wpsvc_1.10.0.2');
 DeleteService('Util SmarterPower');
 DeleteService('Update SmarterPower');
 DeleteService('MaintainerSvc7.71.837357');
 DeleteService('IHProtect Service');
 TerminateProcessByName('c:\program files (x86)\wordproser_1.10.0.2\service\wpsvc.exe');
 QuarantineFile('c:\program files (x86)\wordproser_1.10.0.2\service\wpsvc.exe','');
 TerminateProcessByName('c:\program files (x86)\smarterpower\bin\utilsmarterpower.exe');
 QuarantineFile('c:\program files (x86)\smarterpower\bin\utilsmarterpower.exe','');
 TerminateProcessByName('c:\program files (x86)\smarterpower\updatesmarterpower.exe');
 QuarantineFile('c:\program files (x86)\smarterpower\updatesmarterpower.exe','');
 TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe');
 TerminateProcessByName('c:\programdata\66d59f5c-9429-4c86-9f63-c339daeaabaf\maintainer.exe');
 QuarantineFile('c:\programdata\66d59f5c-9429-4c86-9f63-c339daeaabaf\maintainer.exe','');
 TerminateProcessByName('c:\program files (x86)\elex-tech\yac\isafetray.exe');
 QuarantineFile('c:\program files (x86)\idmsq\idmsq.exe','');
 TerminateProcessByName('c:\users\anuta\appdata\local\pay-by-ads\yahoo! search\1.3.25.0\dsrsetup.exe');
 TerminateProcessByName('c:\users\anuta\appdata\local\pay-by-ads\yahoo! search\1.3.25.0\dsrlte.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('c:\users\anuta\appdata\local\pay-by-ads\yahoo! search\1.3.25.0\dsrlte.exe','32');
 DeleteFile('c:\users\anuta\appdata\local\pay-by-ads\yahoo! search\1.3.25.0\dsrsetup.exe','32');
 DeleteFile('c:\program files (x86)\elex-tech\yac\isafetray.exe','32');
 DeleteFile('c:\programdata\66d59f5c-9429-4c86-9f63-c339daeaabaf\maintainer.exe','32');
 DeleteFile('c:\program files (x86)\xtab\protectservice.exe','32');
 DeleteFile('c:\program files (x86)\smarterpower\updatesmarterpower.exe','32');
 DeleteFile('c:\program files (x86)\smarterpower\bin\utilsmarterpower.exe','32');
 DeleteFile('c:\program files (x86)\wordproser_1.10.0.2\service\wpsvc.exe','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\iSafeNetFilter.sys','32');
 DeleteFile('C:\Windows\system32\drivers\wpnfd_1_10_0_2.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{397e3208-0393-47ca-9748-370b27e14021}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{55825785-0831-456c-8958-bd781398505d}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{632916e0-3570-41b8-afb5-b10d86ad94c7}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{71d5e150-c72b-4e5b-a773-e49420251642}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{8e282837-b584-46f4-a220-bfdd4678d061}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{98a55059-ac5d-40d9-81ae-6bff294c9b89}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{9ba18a1b-2c6c-45d9-9fbe-65697713d97f}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{c28516e7-f1f3-4437-81ce-ec213355cd9c}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{c393de5d-8149-4434-ab91-01ec8ea15264}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{f0140d89-3c88-497e-896f-f889e74b42b2}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}w64.sys','32');
 DeleteFile('C:\Program Files (x86)\XTab\ProtectService.exe','32');
 DeleteFile('C:\ProgramData\66d59f5c-9429-4c86-9f63-c339daeaabaf\maintainer.exe','32');
 DeleteFile('C:\Program Files (x86)\SmarterPower\updateSmarterPower.exe','32');
 DeleteFile('C:\Program Files (x86)\SmarterPower\bin\utilSmarterPower.exe','32');
 DeleteFile('C:\Program Files (x86)\WordProser_1.10.0.2\Service\wpsvc.exe','32');
 DeleteFile('C:\Program Files (x86)\Twilight Tech\Pretty Search\dummyDlg.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yahoo! Search');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','$crrUnisntlDsply$');
 DeleteFile('C:\Windows\system32\Tasks\$crrUnisntlDsply$','64');
 DeleteFile('C:\Windows\system32\Tasks\$crrUnisntlDsply$ Updater','64');
 DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search','64');
 DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Updater','64');
 DeleteFile('C:\Windows\system32\Tasks\{14CCE0EE-A087-435F-AE67-F73F32D088C1}','64');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи Автологгером. 

 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.