Зашифровались файлы в формат XTBL

[Sandor]

 

 

Повторите полный образ автозапуска для контроля

[asushnik]

Повторил полную копию

НИКИТАМСТЕПА-ПК_2015-12-08_11-09-12.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v3.86.7 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v385c
  BREG
  zoo %SystemDrive%\USERS\НИКИТА М СТЕПА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALR.BAT
  bl 8F6ED31815AD511EE9384BE9F7A580ED 271
  delall %SystemDrive%\USERS\НИКИТА М СТЕПА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALR.BAT
  zoo %SystemDrive%\USERS\НИКИТА М СТЕПА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALTOW.BAT
  bl 4FD3AD978699486F2AFDC8E3B9AD6010 271
  delall %SystemDrive%\USERS\НИКИТА М СТЕПА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALTOW.BAT
  addsgn 9252774A066AC1CC0B94424EA34F9A99058A49D31E8248F1604E5998D0278DB312D7936EE220660F6DD3ECBA5B3749ADFE1CEC213DCBDC212D2127ECC35572B4 8 Trojan.Win32.CMSBrute.a [Kaspersky]
   
  zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
  bl 543D1620CE976CB13FEC190CCC1BC83A 885760
  zoo %SystemDrive%\ОPЕRА.BАT.EXE
  bl E96462DD021F65D61D3F97056C3EF236 878480
  delall %SystemDrive%\ОPЕRА.BАT.EXE
  zoo %SystemDrive%\USERS\НИКИТА М СТЕПА\DESKTOP\ОБНОВИ СОФТ.LNK
  bl CF2415BA5D29BF37789D33CC51545F0B 1028
  delall %SystemDrive%\USERS\НИКИТА М СТЕПА\DESKTOP\ОБНОВИ СОФТ.LNK
  delall %SystemDrive%\PROGRAM FILES\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
  delall %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE 8\MONITOR.EXE
  delall %Sys32%\GZBXPEQ.EXE
  delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL
  
  chklst
  delvir
  czoo 
  restart
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте на этот почтовый ящик: newvirus@kaspersky.com
• Подробнее читайте в этом руководстве.

Еще один контрольный образ автозапуска сделайте. Изменено 8 декабря, 2015 пользователем Sandor

[asushnik]

KLAN-3423017390

 

НИКИТАМСТЕПА-ПК_2015-12-08_13-17-06.7z

[Sandor]

Чисто.
По расшифровке:
Лаборатория Касперского оказывает индивидуальную помощь с этим шифровальщиком, поэтому для создания запроса на расшифровку нужна коммерческая лицензия на антивирус Касперского. Если у Вас есть лицензия, то Вам нужно написать письмо на newvirus@kaspersky.com. Структура сообщения должна быть такой:

1. Несколько зашифрованных файлов в архиве.
2. Вложение из письма (желательно)
3. Номер вашей коммерческой лицензии (обязательно).
4. Файл Readme.txt

[asushnik]

У меня есть корпоративная лицензия, а что значит вложение из письма и файл readme.txt

[Sandor]

Заразились ведь через почту? Значит было письмо с вложением (пометка - желательно), как правило, создается файл с требованиями выкупа.

 

Создание запроса на расшифровку.

[phantom]

 

 

 

Если у Вас есть лицензия, то Вам нужно написать письмо на newvirus@kaspersky.com.

А тут сказано что все сообщения о расшифровке отправленные на этот адрес обрабатываться не будут.