Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте!

 

Тип вымогателя Shade, расшифровки нет, увы.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 StopService('4F94148C408C3B18');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '');
 QuarantineFile('C:\WINDOWS\Temp\1A2274E418.sys', '');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32');
 DeleteFile('C:\WINDOWS\Temp\1A2274E418.sys', '32');
 DeleteService('4F94148C408C3B18');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

часть файлов с измененным названием и в конце crypted000007

но есть много других, название сохранено и расширение, но тип файла стоит crypted000078

их также нельзя расшифровать?


Здравствуйте!

Тип вымогателя Shade, расшифровки нет, увы.


 

файлы для проверки не нужны?

Addition.txt

FRST.txt

Опубликовано

их также нельзя расшифровать?

К сожалению, нет.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README9.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README8.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README7.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README6.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README5.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README4.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README3.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README2.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README10.txt
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README1.txt
    2019-10-22 15:03 - 2019-10-23 15:27 - 000000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
    2019-10-22 15:03 - 2019-10-23 00:30 - 001688576 _____ C:\Documents and Settings\User\Мои документы\Scan658.scr
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано
  • 
    2019-10-22 15:05 - 2019-10-22 15:05 - 000004154 _____ C:\README1.txt
    
    

readme файл не заражен? просто txt файл?

я его копировал и открывал на другой машине...

Опубликовано

Я знаю, мы просто чистим мусор.

Копии удаленных файлов складываются в папку C:\FRST\Quarantine

Опубликовано (изменено)

запрос на расшифровку имеет смысл?

или шансов нет...

Fixlog.txt

Изменено пользователем keres
Опубликовано

Если есть возможность, запрос сделайте. Но шансов практически нет.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Banz26
      Автор Banz26
      Зашифрованные файлы (фото,видео)
      CollectionLog-2015.10.05-13.43.zip
    • Edger
      Автор Edger
      фАЙЛЫ приняли расширение xtbl Жаль детских фото 
      CollectionLog-2015.09.08-16.19.zip
      report1.log
      report2.log
    • Edger
      Автор Edger
      зашифрованы файлы в расширение .xtbl
      CollectionLog-2015.09.30-19.25.zip
    • kiddr
      Автор kiddr
      Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:   "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 1E05A087200D94333D18|0 на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."   All the important files on your computer were encrypted. To decrypt the files you should send the following code: 1E05A087200D94333D18|0 to e-mail address decodefile001@gmail.com or decodefile002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый.    Прикрепляю файлы логов, отчет антивируса и ветку реестра.  
      Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"
      CollectionLog-2015.09.25-10.15.zip
      cureit.rar
      Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rar
    • klastercomp
      Автор klastercomp
      Здравствуйте. На моем компьютере зашифровались файлы в расширение .xtbl От вирусов компьютер почистил. Помогите расшифровать файлы.
      CollectionLog-2015.09.28-15.27.zip
×
×
  • Создать...