Расшифровка .xtbl после "Внимание! Все важные файлы..."

[Август]

Здравствуйте! Потерял все надежды вернуть фотографии без резервной копии. После скачивания открылась табличка на рабочем столе 

"Внимание!

Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков." 

Ниже тоже самое на английском.

В файле README.txt следущее:

"Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

06EBDEDD72258444B997|0

на электронный адрес decoder2131@gmail.com или decode002@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

06EBDEDD72258444B997|0

to e-mail address decoder2131@gmail.com or decode002@india.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data."

 

После антивирусной проверки черви ведут себя как настоящие черви - их распилишь,  новые два вырастают.

Лог приведен ниже.

Спасибо!

CollectionLog-2016.01.09-16.29.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Александр\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\B261FEC4\bin.exe','');
 TerminateProcessByName('c:\users\Александр\appdata\local\amigo\application\amigo.exe');
 TerminateProcessByName('c:\users\Александр\appdata\local\amigo\application\45.0.2454.107\amigo_cr.exe');
 DeleteFile('c:\users\Александр\appdata\local\amigo\application\amigo.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aemfgopddy','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aoqczlfpfx','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aqffohihvx','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\atqwooifaj','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\awbgxdjpvz','command');
 DeleteFile('C:\Users\Александр\AppData\Roaming\B261FEC4\bin.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\B261FEC4','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\dkrfmyxnps','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\dzowfteqit','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fseqvwcatb','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\glkmpbjllw','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hgfohfchfx','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hnifdpcsxr','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ipfkvgdili','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ljkilwmutp','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\njkvgoikxr','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pjgcxwtlxs','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pyjkielvfx','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qoetrqezdt','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\svtjhiprcs','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swiprxeqbh','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tksnlvlxin','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tlecafvwdo','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\totkgkttcm','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\txqhejqusi','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ugpakvajla','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\umoxnwxmaq','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xhwgqnqejc','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xnoxzqndqo','command');
 DeleteFile('C:\Users\Александр\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке



3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи