Зашифрованы файлы, все файлы стали форматом .xtbl

[Nodar Begeladze]

После включения компьютера на рабочем столе место картинки стоит сообщение следующего характера

 

 

 

Большой % файлов на компьютере теперь зашифрованы и имеют формат .xtbl.

 

А также в каждой папке есть файл readme следующего содержания

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

 

КОД

 

на электронный адрес decode0098@gmail.com или decode00987@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

 

КОД

 

 

to e-mail address decode0098@gmail.com or decode00987@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

 

Заранее спасибо всем отписавшимся!

CollectionLog-2015.10.17-14.53.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DelBHO('{2247a894-1cf2-41be-b39a-beaba7cadcdc}');
QuarantineFile('C:\Program Files\Swift Record\SwiftRecordbho.dll','');
QuarantineFile('C:\Users\Нодар\AppData\Roaming\Browsers\exe.resworb.bat','');
DeleteService('rvaoqhal');
QuarantineFile('C:\Windows\system32\drivers\rvaoqhal.sys','');
QuarantineFile('UecorkFaki.sys','');
QuarantineFile('honruakku.sys','');
QuarantineFile('dogjyswiw.sys','');
SetServiceStart('dogjyswiw', 4);
SetServiceStart('dyvehiqu', 4);
SetServiceStart('honruakku', 4);
SetServiceStart('UecorkFaki', 4);
DeleteService('UecorkFaki');
DeleteService('honruakku');
DeleteService('dyvehiqu');
DeleteService('dogjyswiw');
QuarantineFile('C:\Users\Нодар\AppData\Local\Uhdsmedia\btjgyxxm.dll','');
QuarantineFile('C:\Users\Нодар\AppData\Local\Orllics\hmdpaxql.dll','');
QuarantineFile('C:\ProgramData\JakAuine\urudkau.dll','');
TerminateProcessByName('c:\programdata\jakauine\uruwka.exe');
QuarantineFile('c:\programdata\jakauine\uruwka.exe','');
TerminateProcessByName('c:\programdata\jakauine\urudka.exe');
QuarantineFile('c:\programdata\jakauine\urudka.exe','');
TerminateProcessByName('c:\programdata\jakauine\uruaka.exe');
TerminateProcessByName('c:\programdata\jakauine\sinkauifei.exe');
QuarantineFile('c:\programdata\jakauine\uruaka.exe','');
QuarantineFile('c:\programdata\jakauine\sinkauifei.exe','');
TerminateProcessByName('c:\users\Нодар\appdata\roaming\1d5ded80-1432887889-81e3-34b4-bcee7b11686b\hnsjec84.tmp');
QuarantineFile('c:\users\Нодар\appdata\roaming\1d5ded80-1432887889-81e3-34b4-bcee7b11686b\hnsjec84.tmp','');
TerminateProcessByName('c:\users\Нодар\appdata\local\orllics\a5d7917c.exe');
QuarantineFile('c:\users\Нодар\appdata\local\orllics\a5d7917c.exe','');
DeleteFile('c:\users\Нодар\appdata\local\orllics\a5d7917c.exe','32');
DeleteFile('c:\users\Нодар\appdata\roaming\1d5ded80-1432887889-81e3-34b4-bcee7b11686b\hnsjec84.tmp','32');
DeleteFile('c:\programdata\jakauine\sinkauifei.exe','32');
DeleteFile('c:\programdata\jakauine\uruaka.exe','32');
DeleteFile('c:\programdata\jakauine\urudka.exe','32');
DeleteFile('c:\programdata\jakauine\uruwka.exe','32');
DeleteFile('C:\ProgramData\JakAuine\urudkau.dll','32');
DeleteFile('C:\Users\Нодар\AppData\Local\Orllics\hmdpaxql.dll','32');
DeleteFile('C:\Users\Нодар\AppData\Local\Uhdsmedia\btjgyxxm.dll','32');
DeleteFile('dogjyswiw.sys','32');
DeleteFile('honruakku.sys','32');
DeleteFile('UecorkFaki.sys','32');
DeleteFile('C:\Windows\system32\drivers\rvaoqhal.sys','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Orllics');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Uxqcmedia');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Uhdsmedia');
DeleteFile('C:\Users\Нодар\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Program Files\Swift Record\SwiftRecordbho.dll','32');
DeleteFile('C:\Windows\Tasks\pvDZNazOSWzJeqK7Rgpa.job','32');
DeleteFile('C:\Windows\Tasks\94SDXag6o4gZ3Ytv9EzaySnhiHs.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

Сделайте лог gmer

[Nodar Begeladze]

KLAN-3264076498

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

exe.resworb.bat,
btjgyxxm.dll,
hmdpaxql.dll,
urudkau.dll,
uruwka.exe,
urudka.exe,
uruaka.exe,
sinkauifei.exe,
hnsjec84.tmp,
a5d7917c.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

[mike 1]

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

Сделайте лог gmer

[Nodar Begeladze]

ClearLNK

 

ClearLNK-19.10.2015_12-29.log

GMER

 

GMER.log

[mike 1]

А новые логи по правилам где?

[Nodar Begeladze]

Новые логи AVZ

 

CollectionLog-2015.10.19-13.32.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[Nodar Begeladze]

Farbar Recovery Scan Tool

 

Addition.txt

FRST.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
Task: C:\Windows\Tasks\Tempo Runner urudka.job => C:\ProgramData\JakAuine\uruaka.EXE+/dgad C:\ProgramData\JakAuine\urudka.exe
Task: {99498833-B0EA-4D5E-B855-8EA58B54E1A5} - no filepath
FirewallRules: [{4F21014E-53FE-4CF9-84D6-AB42C127EF57}] => (Allow) C:\ProgramData\JakAuine\uruaka.EXE
FirewallRules: [{8679CFF0-9AB8-4047-BA8C-C57A35746A1E}] => (Allow) C:\ProgramData\JakAuine\uruaka.EXE
FirewallRules: [{63272DAA-47D2-4DF2-90DE-D2F8F85BED80}] => (Allow) C:\ProgramData\JakAuine\uruaka.EXE
FirewallRules: [{39B30979-8105-4FFF-9C89-C35005AEAD89}] => (Allow) C:\ProgramData\JakAuine\uruaka.EXE
FirewallRules: [{7C55E3D8-47AD-415F-AB50-E5D9D73F950A}] => (Allow) C:\ProgramData\JakAuine\uruaka.EXE
HKLM\...\Run: [] => [X]
HKLM\...\Run: [gmsd_re_256] => [X]
FF Extension: Sense - C:\Users\Нодар\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\e9d197d59f2f45f382b1aa5c14d82@8706aaed9b904554b5cb7984e9.com [2015-06-09] [not signed]
FF Extension: GoHD - C:\Users\Нодар\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\f8783004-c434-4bd0-9f81-9a39dd64baaa@08ad07c4-3f21-451d-9045-9e0d5dc8aa9e.com [2015-06-08] [not signed]
FF Extension: Shop and Save Up - C:\Users\Нодар\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\ffddf830-f24b-489e-9e90-a42d11893b1c@gmail.com [2015-06-08] [not signed]
FF Extension: Ge-Force - C:\Users\Нодар\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\TTSD90021300@PYDKGV101145942.com [2015-06-09] [not signed]
OPR Extension: (SavePass 1.1) - C:\Users\Нодар\AppData\Roaming\Opera Software\Opera Stable\Extensions\fijhlnmmmgflacagjecncpmpnhjieggk [2015-05-29]
OPR Extension: (Quick Searcher) - C:\Users\Нодар\AppData\Roaming\Opera Software\Opera Stable\Extensions\gbkjddnnlgmahpnjjkiolhoophlpibfn [2015-05-29]
OPR Extension: (Ge-Force) - C:\Users\Нодар\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhongheibdpfhdpfccheljfcabgliidh [2015-06-09]
2015-10-18 11:49 - 2015-10-18 11:49 - 00000266 _____ C:\Windows\Tasks\Tempo Runner urudka.job
2015-10-17 12:08 - 2015-10-19 12:46 - 00000000 ____D C:\Users\Нодар\AppData\Local\Uhdsmedia
2015-10-17 12:08 - 2015-10-19 12:46 - 00000000 ____D C:\Users\Нодар\AppData\Local\Orllics
2015-10-17 11:28 - 2015-10-17 11:28 - 03148854 _____ C:\Users\Нодар\AppData\Roaming\263E3F8E263E3F8E.bmp
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Нодар\Desktop\README9.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Нодар\Desktop\README8.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Нодар\Desktop\README7.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Нодар\Desktop\README6.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Нодар\Desktop\README5.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Нодар\Desktop\README4.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Нодар\Desktop\README3.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Нодар\Desktop\README2.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Нодар\Desktop\README10.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Нодар\Desktop\README1.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Public\Desktop\README9.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Public\Desktop\README8.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Public\Desktop\README7.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Public\Desktop\README6.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Public\Desktop\README5.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Public\Desktop\README4.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Public\Desktop\README3.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Public\Desktop\README2.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Public\Desktop\README10.txt
2015-10-17 11:28 - 2015-10-17 11:28 - 00000897 _____ C:\Users\Public\Desktop\README1.txt
2015-10-16 17:09 - 2015-10-17 12:57 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-10-16 17:09 - 2015-10-17 12:57 - 00000000 __SHD C:\ProgramData\Windows
2015-10-16 17:09 - 2015-10-16 17:09 - 00000897 _____ C:\README9.txt
2015-10-16 17:09 - 2015-10-16 17:09 - 00000897 _____ C:\README8.txt
2015-10-16 17:09 - 2015-10-16 17:09 - 00000897 _____ C:\README7.txt
2015-10-16 17:09 - 2015-10-16 17:09 - 00000897 _____ C:\README6.txt
2015-10-16 17:09 - 2015-10-16 17:09 - 00000897 _____ C:\README5.txt
2015-10-16 17:09 - 2015-10-16 17:09 - 00000897 _____ C:\README4.txt
2015-10-16 17:09 - 2015-10-16 17:09 - 00000897 _____ C:\README3.txt
2015-10-16 17:09 - 2015-10-16 17:09 - 00000897 _____ C:\README2.txt
2015-10-16 17:09 - 2015-10-16 17:09 - 00000897 _____ C:\README10.txt
2015-10-18 11:49 - 2015-05-29 11:23 - 00000000 ____D C:\Users\Нодар\AppData\Roaming\Browsers
2015-10-17 11:28 - 2015-10-17 11:28 - 3148854 _____ () C:\Users\Нодар\AppData\Roaming\263E3F8E263E3F8E.bmp
2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\Нодар\AppData\Roaming\94SDXag6o4gZ3Ytv9EzaySnhiHs
2015-04-20 17:05 - 2015-04-20 17:05 - 1579520 _____ () C:\Users\Нодар\AppData\Roaming\94SDXag6o4gZ3Ytv9EzaySnhiHs.exe
2015-04-14 19:28 - 2015-04-14 19:28 - 0004387 _____ () C:\Users\Нодар\AppData\Roaming\pvDZNazOSWzJeqK7Rgpa
2015-04-20 17:05 - 2015-04-20 17:05 - 1246720 _____ () C:\Users\Нодар\AppData\Roaming\pvDZNazOSWzJeqK7Rgpa.exe
2015-05-29 12:39 - 2015-05-29 12:39 - 0628688 _____ (CMI Limited) C:\Users\Нодар\AppData\Local\nslA484.tmp
2015-05-29 13:22 - 2015-05-29 13:22 - 0613255 _____ (CMI Limited) C:\Users\Нодар\AppData\Local\nsmEDF7.tmp
2015-05-29 13:30 - 2015-05-29 13:30 - 0613255 _____ (CMI Limited) C:\Users\Нодар\AppData\Local\nspF9AD.tmp
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.
  

[Nodar Begeladze]

Fixlog.txt

[thyrex]

Лицензия на Kaspersky Internet Security действующая?

[Nodar Begeladze]

Да

[thyrex]

Пишите на newvirus@kaspersky.com

В письме укажите номер лицензии и приложите зашифрованные файлы