Перейти к содержанию

ПОМОГИТЕ расшифровать файлы xtbl!


Рекомендуемые сообщения

Здравствуйте! Помогите расшифровать файлы xtbl!

 

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
80EE64E930646DCF8DDC|0
на электронный адрес files100005@gmail.com или files100006@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
80EE64E930646DCF8DDC|0
to e-mail address files100005@gmail.com or files100006@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

Лог прилагается.

CollectionLog-2015.11.03-09.22.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.resworb.bat','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\54F05FEB.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Uhmedia\54F05FEB.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Uhmedia\DsUtilDyn.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
TerminateProcessByName('c:\documents and settings\admin\local settings\application data\00000000-1431008061-0000-0000-40618635faee\snsu40f.tmp');
QuarantineFile('c:\documents and settings\admin\local settings\application data\00000000-1431008061-0000-0000-40618635faee\snsu40f.tmp','');
DeleteFile('c:\documents and settings\admin\local settings\application data\00000000-1431008061-0000-0000-40618635faee\snsu40f.tmp','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ucmedia','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uhmedia','command');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Uhmedia\54F05FEB.exe','32');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Uhmedia\DsUtilDyn.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\54F05FEB.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{16F946C6-6BD5-E9C8-87DA-903563BC0530}','command');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.resworb.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Извените сейчас будут!


Новые логи!


KLAN-3312806385

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

54F05FEB.exe,
54F05FEB_0.exe - Trojan.Win32.Diple.gidq
csrss.exe - Trojan-Ransom.Win32.Shade.vn

Детектирование файлов будет добавлено в следующее обновление.

DsUtilDyn.dll,
snsu40f.tmp

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

54F05FEB.exe,
54F05FEB_0.exe - Trojan.Win32.Diple.gidq
csrss.exe - Trojan-Ransom.Win32.Shade.vn

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

DsUtilDyn.dll,
snsu40f.tmp

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 11/3/2015 8:11:15 AM
To: newvirus@kaspersky.com
Subject:

CollectionLog-2015.11.03-11.37.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Лицензия на антивирус действующая?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
2015-10-30 14:40 - 2015-11-03 10:39 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Uhmedia
2015-10-30 14:27 - 2015-10-30 14:27 - 03932214 _____ C:\Documents and Settings\Admin\Application Data\6B0FC5156B0FC515.bmp
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README9.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README8.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README7.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README6.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README5.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README4.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README3.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README2.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README10.txt
2015-10-30 14:27 - 2015-10-30 14:27 - 00000899 _____ C:\Documents and Settings\Admin\Рабочий стол\README1.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README9.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README8.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README7.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README6.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README5.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README4.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README3.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README2.txt
2015-10-30 13:49 - 2015-10-30 13:49 - 00000899 _____ C:\README10.txt
2015-10-30 13:47 - 2015-11-03 10:41 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2015-11-03 11:22 - 2012-11-14 13:53 - 00002117 _____ C:\Documents and Settings\Admin\Рабочий стол\Войти в Интернет.lnk
C:\Documents and Settings\Admin\Local Settings\Temp\v1p2JU6rL9Ku.exe
CustomCLSID: HKU\S-1-5-21-57989841-1303643608-1417001333-500_Classes\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InprocServer32 -> C:\Documents and Settings\Admin\Local Settings\Application Data\Uhmedia\DsUtilDyn.dll => No File
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • lex-xel
      От lex-xel
      Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.
      Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 
      ooo4ps.7z
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • Mitesoro
      От Mitesoro
      Добрый день зашифровалось все что было на ноутбуке и после этого все файлы начали выглядеть вот так  DSC_0235.JPG[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED]
       
      Ноутбук был нужен, на нем поменяли жесткий диск продолжили работу.
       
      во вложении приложены файлы до шифрования и после, а также логи сделанные на ноутбуке, где были установлены 2 жестких диска (нормальный и с зашифрованными файлами).
       
      не очень могу сообразить как сделать логи  с жесткого диска который зашифрован (не запускается винда с поврежденного диска).
       
      подскажите что-то можно сделать? 
       
      Красный Труженник.doc[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED].id-F40111D9.[filesneed@aol.com].VWA[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED] Красный Труженник.doc CollectionLog-2020.05.12-22.04.zip
    • Sergio1900
      От Sergio1900
      файл сканирования и пример.zip
×
×
  • Создать...