Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик no_more_ransom

Желя Илич
 Поделиться

Рекомендуемые сообщения

Желя Илич

Желя Илич

Опубликовано
Опубликовано

Поймал шифровальщика с расширение no_more_ransom. Есть ли шанс что получится расшифровать? 

Лог и примеры файлов прикрепил к теме сообщения. Спасибо!

CollectionLog-2017.03.23-15.47.zip

Desktop.rar

regist

regist

Опубликовано
Опубликовано

Здравствуйте!

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2) Деинсталируйте следующие программы:

CinemaxMe-version2.0 [2014/12/05 14:58:25]-->C:\Program Files\CinemaxMe-version2.0\Uninstall.exe /fcp=1
DealPly (remove only) [2013/06/26 13:46:33]-->"C:\Program Files\DealPly\uninst.exe" /uninstall
Dealply [2013/06/26 13:46:35]-->C:\Users\Светлана Юрьевна\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe /Uninstall
GamesDesktop 033.11 [20141205]-->"C:\Program Files\gmsd_ru_11\unins000.exe"
Lampy Lighty [2015/01/12 17:22:23]-->C:\Program Files\Lampy Lighty\LampyLightyuninstall.exe
Media+PlayerVidEd2.0 [2014/12/05 14:58:32]-->C:\Program Files\Media+PlayerVidEd2.0\Uninstall.exe /fcp=1
mystartsearch uninstall [2014/12/05 14:58:19]-->C:\Users\Светлана Юрьевна\AppData\Roaming\mystartsearch\UninstallManager.exe  -ptid=tugs
Reimage Repair [2015/03/17 13:23:27]-->C:\Program Files\Reimage\Reimage Repair\uninst.exe
TheBestDeals [2014/12/05 14:57:47]-->C:\Program Files\ver1TheBestDeals\Uninstall.exe
WindowsMangerProtect20.0.0.1277 [2014/12/05 14:58:48]-->C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -uninstall

3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('Update Lampy Lighty', 4);
 SetServiceStart('Util Lampy Lighty', 4);
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('IePluginServices', 4);
 SetServiceStart('globalUpdatem', 4);
 SetServiceStart('dealplylive', 4);
 SetServiceStart('globalUpdate', 4);
 SetServiceStart('dealplylivem', 4);
 StopService('Update Lampy Lighty');
 StopService('Util Lampy Lighty');
 StopService('WindowsMangerProtect');
 StopService('IePluginServices');
 StopService('globalUpdatem');
 StopService('globalUpdate');
 StopService('dealplylivem');
 StopService('dealplylive');
 StopService('4F96D5C976A5B788');
 StopService('4F97FBB7961CC688');
 QuarantineFile('C:\Users\Светлана Юрьевна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Светлана Юрьевна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.url', '');
 QuarantineFile('C:\Users\Светлана Юрьевна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.url', '');
 QuarantineFile('C:\Program Files\dealplylive\update\1.3.23.0\goopdate.dll', '');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll', '');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll', '');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll', '');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll', '');
 QuarantineFile('Update Lampy Lighty.sys', '');
 QuarantineFile('Util Lampy Lighty.sys', '');
 QuarantineFile('IePluginServices.sys', '');
 QuarantineFile('C:\Program Files\globalUpdate\Update\GoogleUpdate.exe', '');
 QuarantineFile('C:\Program Files\DealPlyLive\Update\DealPlyLive.exe', '');
 QuarantineFile('WindowsMangerProtect.sys', '');
 QuarantineFile('C:\Windows\TEMP\3AE2B9E.sys', '');
 QuarantineFile('C:\Windows\TEMP\5C0B50D.sys', '');
 QuarantineFile('C:\Program Files\Media+PlayerVidEd2.0\d2da6756-77d0-4d61-ba14-7a031ca4172e.exe', '');
 QuarantineFile('???????\AppData\Roaming\LSHLRGPF.exe', '');
 QuarantineFile('???????\AppData\Roaming\QAKOG.exe', '');
 QuarantineFile('c:\users\8185~1\appdata\local\temp\{2f3b6e2c-a6d6-4166-b685-286dc9363ab6}\{6af98601-cd0c-4817-99e8-eb09689890bf}.exe', '');
 QuarantineFile('C:\Users\Светлана Юрьевна\appdata\roaming\lshlrgpf.exe', '');
 QuarantineFileF('C:\Program Files\CinemaxMe-version2.0\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\globalUpdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Media+PlayerVidEd2.0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\dealplylive\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files\DealPlyLive\Update\DealPlyLive.exe', '32');
 DeleteFile('C:\Program Files\globalUpdate\Update\GoogleUpdate.exe', '32');
 DeleteFile('IePluginServices.sys', '32');
 DeleteFile('Util Lampy Lighty.sys', '32');
 DeleteFile('Update Lampy Lighty.sys', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-1.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-11.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-2.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-4.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-5.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-5_user.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-6.job', '32');
 DeleteFile('C:\Windows\Tasks\098607a1-7d2b-4b89-9e70-c637f03dfc7a-7.job', '32');
 DeleteFile('C:\Windows\Tasks\8e11045b-3dfd-4522-a881-764a57cd8e98.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-1.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-10_user.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-11.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-2.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-3.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-4.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-5.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-5_user.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-6.job', '32');
 DeleteFile('C:\Windows\Tasks\a23a83a9-3831-448a-927d-d62a4a4d0608-7.job', '32');
 DeleteFile('C:\Windows\Tasks\Dealply.job', '32');
 DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job', '32');
 DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job', '32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job', '32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job', '32');
 DeleteFile('C:\Windows\Tasks\TheBestDeals Update.job', '32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psuser.dll', '32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\psmachine.dll', '32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll', '32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll', '32');
 DeleteFile('C:\Program Files\dealplylive\update\1.3.23.0\goopdate.dll', '32');
 DeleteFile('C:\Windows\Tasks\d2da6756-77d0-4d61-ba14-7a031ca4172e.job', '32');
 DeleteFile('C:\Windows\Tasks\LSHLRGPF.job', '32');
 DeleteFile('C:\Windows\Tasks\QAKOG.job', '32');
 DeleteFile('WindowsMangerProtect.sys', '32');
 DeleteFile('C:\Program Files\Media+PlayerVidEd2.0\d2da6756-77d0-4d61-ba14-7a031ca4172e.exe', '32');
 DeleteFile('???????\AppData\Roaming\LSHLRGPF.exe', '32');
 DeleteFile('???????\AppData\Roaming\QAKOG.exe', '32');
 DeleteFile('c:\users\8185~1\appdata\local\temp\{2f3b6e2c-a6d6-4166-b685-286dc9363ab6}\{6af98601-cd0c-4817-99e8-eb09689890bf}.exe', '32');
 DeleteFile('C:\Users\Светлана Юрьевна\appdata\roaming\lshlrgpf.exe', '32');
 DeleteService('Update Lampy Lighty');
 DeleteService('Util Lampy Lighty');
 DeleteService('IePluginServices');
 DeleteService('globalUpdatem');
 DeleteService('globalUpdate');
 DeleteService('dealplylivem');
 DeleteService('dealplylive');
 DeleteService('WindowsMangerProtect');
 DeleteFileMask('C:\Program Files\CinemaxMe-version2.0\', '*', true);
 DeleteFileMask('C:\Program Files\globalUpdate', '*', true);
 DeleteFileMask('C:\Program Files\Media+PlayerVidEd2.0', '*', true);
 DeleteFileMask('C:\Program Files\dealplylive\', '*', true);
 DeleteDirectory('C:\Program Files\CinemaxMe-version2.0\');
 DeleteDirectory('C:\Program Files\globalUpdate');
 DeleteDirectory('C:\Program Files\Media+PlayerVidEd2.0');
 DeleteDirectory('C:\Program Files\dealplylive\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Badoo Desktop');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
4) - Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

5)  - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.


6) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

7)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...