Перейти к содержанию

Все файлы зашифрованы - .xtbl


Рекомендуемые сообщения

Здравствуйте, на моем компьютере все файлы офиса, музыка, видео, фотографии были зашифрованы в формат .xtbl.  Вирус просит отправить код на почту для получения дальнейших указаний. 

CollectionLog-2015.10.22-00.35.zip

README10.txt

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('????????! ????? ??????????? ??????? AVZ ????????????? ??????? ??? ??????? ???????????.' + #13#10 + '????? ???????????? ?????????? ??????????? ? ???? ????? ????????????? ? ?????????????? ??????.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('44E3143A', 4);
 SetServiceStart('461D7C4E', 4);
 SetServiceStart('46D50B23', 4);
 SetServiceStart('476D71E9', 4);
 QuarantineFile('C:\Users\Scorpion\AppData\Local\Temp\9635.tmp','');
 QuarantineFile('C:\Windows\TEMP\476D71E9.sys','');
 QuarantineFile('C:\Windows\TEMP\46D50B23.sys','');
 QuarantineFile('C:\Windows\TEMP\461D7C4E.sys','');
 QuarantineFile('C:\Windows\TEMP\44E3143A.sys','');
 QuarantineFile('C:\Users\Scorpion\AppData\Local\Adhfworks\wgjjegjx.dll','');
 DeleteFile('C:\Users\Scorpion\AppData\Local\Adhfworks\wgjjegjx.dll','32');
 DeleteFile('C:\Windows\TEMP\44E3143A.sys','32');
 DeleteFile('C:\Windows\TEMP\461D7C4E.sys','32');
 DeleteFile('C:\Windows\TEMP\46D50B23.sys','32');
 DeleteFile('C:\Windows\TEMP\476D71E9.sys','32');
 DeleteFile('C:\Users\Scorpion\AppData\Local\Temp\9635.tmp','32');
 DelBHO('8984B388-A5BB-4DF7-B274-77B879E179DB');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Icdsoft');
 DeleteService('44E3143A');
 DeleteService('461D7C4E');
 DeleteService('46D50B23');
 DeleteService('476D71E9');
 DelAutorunByFileName('C:\Users\Scorpion\AppData\Local\Temp\9635.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [userinit] C:\Users\Scorpion\AppData\Local\Temp\9635.tmp
O4 - HKCU\..\Run: [Icdsoft] C:\Windows\System32\regsvr32.exe C:\Users\Scorpion\AppData\Local\Adhfworks\wgjjegjx.dll

 
Сделайте новые логи ОБЫЧНОЙ версией автологгера по правилам (только пункт 2).

+ приложите логи FRST
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты

1. Ответ Kaspersky Virus Desk (KLAN-3278596988) следующий 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

wgjjegjx.dll

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

 

2. В Пофиксите в HijackThis  неоказалось таких строчек.

 

3. Все тестирование ниже 

CollectionLog-2015.10.22-16.39.zip

Addition.txt

FRST.txt

Изменено пользователем SergP
Ссылка на комментарий
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:BF14D50A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:BF14D50A
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2394747227-1683909163-3570387779-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\Scorpion\AppData\Local\Adhfworks\wgjjegjx.dllATTENTION! ====> ZeroAccess?
Toolbar: HKU\S-1-5-21-2394747227-1683909163-3570387779-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
2015-10-19 21:20 - 2015-10-19 21:20 - 05292054 _____ C:\Users\Scorpion\AppData\Roaming\8F0685998F068599.bmp
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README9.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README8.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README7.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README6.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README5.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README4.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README3.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README2.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README10.txt
2015-10-17 00:57 - 2015-10-21 21:55 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-10-17 00:57 - 2015-10-21 21:55 - 00000000 __SHD C:\ProgramData\Windows
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

чисто.


Для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой:
 
1. Несколько зашифрованных файлов в архиве.
2. Вложение из письма (желательно)
3. Номер вашей коммерческой лицензии (обязательно).
4. Файл Readme.txt
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...