ПОМОГИТЕ расшифровать файлы xtbl!

[Raptor89]

Здравствуйте! Помогите расшифровать файлы xtbl!

 

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

80EE64E930646DCF8DDC|0

на электронный адрес files100005@gmail.com или files100006@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

80EE64E930646DCF8DDC|0

to e-mail address files100005@gmail.com or files100006@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

Лог прилагается.

CollectionLog-2015.11.03-09.22.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.resworb.bat','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\54F05FEB.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Uhmedia\54F05FEB.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Uhmedia\DsUtilDyn.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
TerminateProcessByName('c:\documents and settings\admin\local settings\application data\00000000-1431008061-0000-0000-40618635faee\snsu40f.tmp');
QuarantineFile('c:\documents and settings\admin\local settings\application data\00000000-1431008061-0000-0000-40618635faee\snsu40f.tmp','');
DeleteFile('c:\documents and settings\admin\local settings\application data\00000000-1431008061-0000-0000-40618635faee\snsu40f.tmp','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ucmedia','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uhmedia','command');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Uhmedia\54F05FEB.exe','32');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Uhmedia\DsUtilDyn.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\54F05FEB.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{16F946C6-6BD5-E9C8-87DA-903563BC0530}','command');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.resworb.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[Raptor89]

 

ClearLNK

ClearLNK-03.11.2015_11-22.log

[thyrex]

До конца кто дочитывать будет?

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[Raptor89]

Извените сейчас будут!

Новые логи!

KLAN-3312806385

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

54F05FEB.exe,
54F05FEB_0.exe - Trojan.Win32.Diple.gidq
csrss.exe - Trojan-Ransom.Win32.Shade.vn

Детектирование файлов будет добавлено в следующее обновление.

DsUtilDyn.dll,
snsu40f.tmp

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

54F05FEB.exe,
54F05FEB_0.exe - Trojan.Win32.Diple.gidq
csrss.exe - Trojan-Ransom.Win32.Shade.vn

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

DsUtilDyn.dll,
snsu40f.tmp

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 11/3/2015 8:11:15 AM
To: newvirus@kaspersky.com
Subject:

CollectionLog-2015.11.03-11.37.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[Raptor89]

Логи  Farbar Recovery Scan Tool

Addition.txt

FRST.txt

[thyrex]

Лицензия на антивирус действующая?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
2015-10-30 14:40 - 2015-11-03 10:39 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Uhmedia
2015-10-30 14:27 - 2015-10-30 14:27 - 03932214 _____ C:\Documents and Settings\Admin\Application Data\6B0FC5156B0FC515.bmp
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README9.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README8.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README7.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README6.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README5.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README4.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README3.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README2.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README10.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README1.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README9.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README8.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README7.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README6.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README5.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README4.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README3.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README2.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README10.txt
2015-10-30 13:47 - 2015-11-03 10:41 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2015-11-03 11:22 - 2012-11-14 13:53 - 00002117 _____ C:\Documents and Settings\Admin\Рабочий стол\Войти в Интернет.lnk
C:\Documents and Settings\Admin\Local Settings\Temp\v1p2JU6rL9Ku.exe
CustomCLSID: HKU\S-1-5-21-57989841-1303643608-1417001333-500_Classes\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Uhmedia\DsUtilDyn.dll => No File
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.
  

[Raptor89]

Лицензия действует !

 

Номер лицензии ******************

Fixlog.txt

[thyrex]

Значит обращайтесь в техподдержку.

К обращению прикрепите C:\README1.txt, зашифрованные файлы и сообщите им номер лицензии

[Raptor89]

Адрес техподдержки какой?

[thyrex]

http://support.kaspersky.ru/

Дальше выбираете установленный лицензионный продукт, а затем уже сами сориентируетесь

[Raptor89]

Это запрос через kaspersky Lab CompanyAccount?

[thyrex]

Вероятнее всего да (возможно через Личный кабинет)