Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день!, попал комп друга вирус шифровальщик (открыл письмо и вложеный файл)

Антивмрус был 360 тотал секурити

 

Файл редми следующего содержания

Baши фaйлы были зaшифpoвaны.
Чтобы рacшuфpoвать иx, Вам необxoдuмо oтnpaвumь кoд:
D22FE02000699312DD06|0
нa элекmpонный aдpес pilotpilot088@gmail.com .
Далее вы noлучuте вce нeoбхoдимые инстpуkцuu.
Попытku pасшuфровать cамосmoяmeльнo нe nриведym ни k чeмy, kpoме бeзвoзвpaтной пoтеpu инфoрмaции.
Eслu вы всё жe хоmите поnыmаmься, то прeдварuтeльнo cдeлaйте резервные kоnuu фaйлoв, uначе в слyчае
uх uзменения paсшuфровка cmaнem нeвозмoжной нu npu kaкux yслoвияx.
Если вы не полyчилu оmвeта nо вышеyказaнному адpeсу в тeчeние 48 чаcов (u тольkо в эmом случае!),
вocnoльзуйтecь фopмой обpamнoй связu. Эmo можнo сделaть двумя cпоcoбами:
1) Сkачaйтe u yстaновите Tor Browser nо cсылке: https://www.torproject.org/download/download-easy.html.en
В адpеснoй сmрoкe Tor Browser-a введитe адрес:
и нажмиmе Enter. 3aгpyзиmcя cmpaница с фoрмoй обрamнoй связu.
2) B любoм бpаyзере пеpeйдumе по одномy из aдресов:
 
Установил логгер, результат работы во вложении

Файл во вложении

CollectionLog-2018.12.14-16.59.zip

Опубликовано

Здравствуйте!

 

Расшифровки этой версии к сожалению нет. Но вымогатель активен.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe');
 TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe');
 TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe');
 TerminateProcessByName('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe');
 TerminateProcessByName('c:\progra~3\softwa~1\nheqmi~1.exe');
 QuarantineFile('c:\progra~3\softwa~1\nheqmi~1.exe', '');
 QuarantineFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '');
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Resources\svchost.exe', '');
 QuarantineFile('C:\ProgramData\services\csrss.exe', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', '');
 QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', '');
 QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', '');
 QuarantineFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', '');
 DeleteFile('c:\progra~3\softwa~1\nheqmi~1.exe');
 DeleteFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '32');
 DeleteFile('C:\PROGRA~3\SysWOW64\n6899mSP.cmd', '64');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '64');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '32');
 DeleteFile('C:\ProgramData\Resources\svchost.exe', '64');
 DeleteFile('C:\ProgramData\services\csrss.exe', '32');
 DeleteFile('C:\ProgramData\services\csrss.exe', '64');
 DeleteFile('c:\programdata\windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '64');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', '');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0a2abb1c.exe', '64');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', '');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\0d3ddf06.exe', '64');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', '');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\5ff2a268.exe', '64');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', '');
 DeleteFile('c:\users\resept~1.kad\appdata\local\temp\f6b5e105.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Command Line Support', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CSRSS', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hh.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Session Manager', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SafeWeb

Менеджер браузеров

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Опубликовано (изменено)

Файл quarantine.zip отправил, 

Свежий Collection.log во вложении

 


ответ от newvirus@kaspersky.com KLAN-9300635936

CollectionLog-2018.12.17-13.20.zip

Изменено пользователем Стас67
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Опубликовано

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Опубликовано

Продолжаем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • klastercomp
      Автор klastercomp
      Здравствуйте. На моем компьютере зашифровались файлы в расширение .xtbl От вирусов компьютер почистил. Помогите расшифровать файлы.
      CollectionLog-2015.09.28-15.27.zip
    • Владислав Карачурин
      Автор Владислав Карачурин
      Здравствуйте!
      Прошу помощи. Одна надежда на вас; ни одна утилита с оффициального сайта Касперского не подходит..
      Зашифровались все важные для меня файлы на диске С, там очень важная информация doc, для работы необходимая
       
      На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)
      А все файлы зашифровались в белиберду с расширением.xtbl,
      например вот: P4KZRt7EoBBd3CY3I-2LQVM2OL+-M2MAoNoNujqrXEY=.97C2755E910EF2E38D31.xtbl
       
      В многочисленных текстовиках созданных вирусом пишется вот это:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      97C2755E910EF2E38D31|0
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      97C2755E910EF2E38D31|0
      to e-mail address decode010@gmail.com или decode1110@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
       
       
      В дополнение к вложениям вот ссылка на файлообменник https://yadi.sk/d/IhQEAOdqjHHBM  ; выложил тудазашифрованный файл, тхт созданный вирусом 
      Очень жду вашей помощи.
      Заранее огромное спасибо.
      CollectionLog-2015.09.24-01.32.zip
    • Алексей Байгашев
      Автор Алексей Байгашев
      Здравствуйте! Месяц назад принесли ноутбук мои знакомые, сказали что фотки не открываются, я посмотрел и увидел что они переименовались в формат *.xtbl проверил на вирусы, нашел примерно 5 штук, удалил. Потом почитал статью что их нельзя удалять, восстановил точку до того когда проверял на вирусы. Сейчас пишу Вам. Какие мои действия в данный момент?
      README8.txt
      ipc.log
    • falc0n
      Автор falc0n
      Вирус зашифровал файлы на компьютере, расширение у зашифрованных файлов .xtbl. На рабочем столе красная надпись предупреждающая об этом. в текстовом файле информация от злоумышленников (в прикрепленных файлах)
      README1.txt
      CollectionLog-2015.09.21-14.04.zip
    • tonytony
      Автор tonytony
      Здравствуйте, появились файлы README от 1 - 10 , в каждом таком файле один и тот же текст :
        Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: A73631ABC6FABAA73B13|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: A73631ABC6FABAA73B13|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Что мне с этим делать?  Файлы которые нужно прикрепить вот они, надеюсь я правильно выполнил данную операцию  CollectionLog-2015.09.23-13.02.zip
×
×
  • Создать...