Словил шифратор в формат .xtbl

Mike The · 15.01.2015, 22:27

Пакостник закодировал файлы с определёнными расширениями. В основном всякое медиа: фильмы, музыка. Текстовые не тронул. Закодировал не везде: рядом папки с MP3 и подпортил не все. Не успел? Ещё успеет?
Дешифратор найти не смог – ощущение, что гадость новая. Касперские декрипторы не справились.
Сейчас подчищаю систему свежим Каспером Ремувбл Тул. Достаточно ли чтобы убить вирус? Что сейчас потерял – ерунда. Главное, чтобы на архивы не прыгнул.
А может и разкодировать всё-таки можно?
Спасибо.

RP55.RP55 · 15.01.2015, 22:53

1) Если есть подозрение, что вирус до сих пор в системе и продолжает шифровать файлы...
Работайте на PC ТОЛЬКО в безопасном режиме системы с поддержкой сетевых драйверов.
( чтобы не дать зашифровать оставшиеся файлы )

2) Для того, чтобы найти вирус.

Вниманию пришедших за помощью!
http://pchelpforum.ru/f26/t6442/
Нужен образ автозапуска в программе uVS
!!!!
Обновите программу до версии: uVS 3.85.3
http://rghost.ru/59329776

Цитата:

Сделайте образ автозапуска uVS - В безопасном режиме.

Запуск PC - безопасный режим.
Подробно

Mike The · 16.01.2015, 02:11

Антивирусом подчистил и похоже, что виря долбанул.
Но по инструкции лог всё равно сделал. Вот:
http://rghost.ru/60373275
Если б ещё сам в нём разбирался...

safety · 16.01.2015, 06:48

шифратора в процессах и автозапуске нет. (уже)
выложите на обмен несколько зашифрованных файлов.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\BABSOLUTION\SHARED\BABMAINT.EXE
addsgn A7679B1BB95244720BE76ED7ED4DEAF8DA75CF3FEF7392887E3C3A8F82B0F8D9CBEE3CA8B3D065B4D47FD4F5467C499067B5E88D409E906C2DFA29D73AF9DD22 8 Adware.Babylon.12 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\DELTA\DELTA\1.8.21.5\DELTASRV.EXE
addsgn 1A1EFD9A5583C58CF42B254E3143FE86C99AAB09FCEA9235752B215CAF29FA312B923C2219BDA05D2B80439F501649FA9586FF72555ACDD02D03A3A482FEA113 8 Adware.Toolbar.205 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\DELTA\DELTA\1.8.21.5\DELTAENG.DLL
addsgn 79132211B9E9317E0AA1AB59C2531205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5C35FD39F46E93CEAFE1FC822AAAFBCD3587F4C3D5B0622F0 64 a variant of Win32/Toolbar.Montiera.A

zoo %SystemDrive%\PROGRAM FILES\DELTA\DELTA\1.8.21.5\DELTAAPP.DLL
addsgn 79132211B9E9317E0AA1AB597AA91205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A0410FD24ED149DA01DCF8F95C53F828EB37AC2F9AC42A73 64 Adware.Toolbar.205 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\CPPREDISTX86.EXE
addsgn A7679B19919A7FB282915E09D8515105CDAD530A76C9DF2DED6758FF50B28E7C479EE3DA6BA525482B80847766D9B505F69A18C8ED47F32CC51432D338733A19 8 Win32/CoinMiner.SX [ESET-NOD32]

delall %SystemDrive%\PROGRAM FILES\DELTA\DELTA\1.8.21.5\BH\DELTA.DLL
hide %Sys32%\CPLDAPU\BLUESCREENVIEW.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref HTTP://WWW1.DELTA-SEARCH.COM/?BABSRC=NT_SS&MNTRID=C41D5CD998F55D88&AFFID=122460&TT=110713_9126&TSP=4942
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref %Sys32%\DRIVERS\{5178F938-0BD5-47C1-8242-71F6E3E72925}GT.SYS
del %Sys32%\DRIVERS\{5178F938-0BD5-47C1-8242-71F6E3E72925}GT.SYS

regt 28
regt 29
; Deal Keeper
exec C:\Program Files\Deal Keeper\DealKeeperuninstall.exe
; OpenAL
exec C:\Program Files\OpenAL\oalinst.exe" /U
; sweet-page uninstall
exec C:\Documents and Settings\Admin\Application Data\sweet-page\UninstallManager.exe  -ptid=cor
; WebSecurity Extension version 16.40
exec C:\Program Files\Microsoft Data\unins000.exe
deltmp
delnfr
areg

;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

Mike The · 16.01.2015, 11:29

Процесс лечения продолжу чуть позднее. Пока архивчик с тремя закодированными файлами. Изначально были mp3
http://rghost.ru/60376398

Судя по общим процессам, они сами по себе не заразны.

safety · 16.01.2015, 11:50

видимо так. в отличие от нового семейства шифраторов. Virlock.
http://habrahabr.ru/company/eset/blog/247267/

Mike The · 16.01.2015, 21:09

Просканировал Марвелом
Лог: http://rghost.ru/private/60387519/8b...8f2587b23d6c78
Так понимаю, все ЕЩЁ обнаруженные угрозы надо в карантин.

RP55.RP55 · 16.01.2015, 21:11

1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

--------
2) Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Браузер расширения.

В адресной строке браузера пропишите:
для
Яндекс браузер:
browser://extensions/

ХРОМ:
chrome://extensions/

Опера:
opera://extensions

Firefox:
about:addons

nternet Explorer:
Зайти в раздел настроек браузера, выбрать меню "Настроить надстройки":
В открывшемся окне кликните на расширение.

Откроется список расширений браузера.

Отключите все расширения кроме: Flash ( Adobe Systems ) и Kaspersky
* Если возникнет необходимость потом их можно включить.
Оцените результат.

Mike The · 16.01.2015, 21:52

Ну, так полагаю, всё ненужное на фиг.
Процедуры проделал.
Осталось поиском повылавливать закодированные файлы и отследить, какие элементы придётся искать заново или переустанавливать.
Кстати, для информации. Вирус не тронул только задействованный системный диск. По всем остальным прошёлся. В частности, у меня стояла вторая (резервная) Винда на отдельном локальном диске и он её попортил.

Спасибо за помощь. Алгоритм крайне полезн и не только для меня. Пойду поделюсь.

RP55.RP55 · 16.01.2015, 22:01

Хорошо.
Далее.
закрываем уязвимости
Программу AVZ можно скачать здесь: https://yadi.sk/d/1oRfN6gh2gbxf

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

---------

Рекомендации

Часто в комплекте с основной программой идут дополнения.
При установке ВСЕХ программ нужно включать расширенный режим установки.
И отказываться от установки дополнительных программы ( в большинстве случаев это Adware = рекламные блоки )
--
В антивирусе включить обнаружение потенциально нежелательных/опасных программ.
--
Перед установкой программы читать о ней отзывы.
--
По возможности проверять программу здесь: https://www.virustotal.com/
* Если позволяет вес программы.
+
Возможно вас заинтересует тема:
http://pchelpforum.ru/f26/t141222/

Mike The · 16.01.2015, 23:26

Цитата:

Сообщение от RP55.RP55

После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Однако 21-но уязвимое место. Ушёл обновляться.
Правда с обновлениями не так всё просто, поскольку ХР, а под них делают всё меньше и меньше.

RP55.RP55 · 16.01.2015, 23:36

На самом деле уязвимостей в любой системе гораздо больше.
AVZ - проверяет на самые популярные - которые наиболее часто применяют на практике злоумышленниками.

luftmass · 19.01.2015, 23:11

Подскажите , так файлы удалось спасти?(фото очень жаль...)

RP55.RP55 · 19.01.2015, 23:19

1) Если были копии фотографий, или документов которые вы по той, или иной причине сами удалили
Можно попробовать и восстановить некоторые фотографии.
Для этого воспользуйтесь программами восстановления данных.

2) При наличие платной версии антивируса - можно обратиться за тех. поддержкой.
В ряде случаев могут помочь - но особо на это надеяться не стоит.

luftmass · 19.01.2015, 23:32

Да нет, я имею ввиду файлы .xtbl удалось вернуть(расшифровать)?
Стоит ли пробовать? или переустановка системы, а фалы сохранить,пока кто-нибудь не разгадает коды вымогателей?

15.01.2015, 22:27	#1 (ссылка)
Mike The Новичок Регистрация: 15.01.2015 Сообщений: 6 Репутация: 0	Словил шифратор в формат .xtbl Пакостник закодировал файлы с определёнными расширениями. В основном всякое медиа: фильмы, музыка. Текстовые не тронул. Закодировал не везде: рядом папки с MP3 и подпортил не все. Не успел? Ещё успеет? Дешифратор найти не смог – ощущение, что гадость новая. Касперские декрипторы не справились. Сейчас подчищаю систему свежим Каспером Ремувбл Тул. Достаточно ли чтобы убить вирус? Что сейчас потерял – ерунда. Главное, чтобы на архивы не прыгнул. А может и разкодировать всё-таки можно? Спасибо.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Шифратор !	Muhas PRO	Веб-строительство	0	20.08.2013 22:10
Ручной формат листа при конвертации в формат *.CSD (CSDWriter2008)	barsikline	Графика	0	12.08.2012 12:37
словил блокиратор	slashboy	Безопасность	20	16.04.2012 19:10
Словил вирус	PASAHAKA	Безопасность	1	13.01.2012 16:43
Словил Carberp.ad	Alex2011	Безопасность	5	22.12.2011 19:03

16.01.2015, 02:11	#3 (ссылка)
Mike The Новичок Регистрация: 15.01.2015 Сообщений: 6 Репутация: 0	Антивирусом подчистил и похоже, что виря долбанул. Но по инструкции лог всё равно сделал. Вот: http://rghost.ru/60373275 Если б ещё сам в нём разбирался...

16.01.2015, 11:29	#5 (ссылка)
Mike The Новичок Регистрация: 15.01.2015 Сообщений: 6 Репутация: 0	Процесс лечения продолжу чуть позднее. Пока архивчик с тремя закодированными файлами. Изначально были mp3 http://rghost.ru/60376398 Судя по общим процессам, они сами по себе не заразны.

16.01.2015, 11:50	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	видимо так. в отличие от нового семейства шифраторов. Virlock. http://habrahabr.ru/company/eset/blog/247267/

16.01.2015, 21:09	#7 (ссылка)
Mike The Новичок Регистрация: 15.01.2015 Сообщений: 6 Репутация: 0	Просканировал Марвелом Лог: http://rghost.ru/private/60387519/8b...8f2587b23d6c78 Так понимаю, все ЕЩЁ обнаруженные угрозы надо в карантин.

16.01.2015, 21:11	#8 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	1) В Malwarebytes - всё найденное удалите. ( поместите в карантин ) -------- 2) Далее: Выполните лог в АdwСleaner http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой 3) Браузер расширения. В адресной строке браузера пропишите: для Яндекс браузер: browser://extensions/ ХРОМ: chrome://extensions/ Опера: opera://extensions Firefox: about:addons nternet Explorer: Зайти в раздел настроек браузера, выбрать меню "Настроить надстройки": В открывшемся окне кликните на расширение. Откроется список расширений браузера. Отключите все расширения кроме: Flash ( Adobe Systems ) и Kaspersky * Если возникнет необходимость потом их можно включить. Оцените результат.

16.01.2015, 21:52	#9 (ссылка)
Mike The Новичок Регистрация: 15.01.2015 Сообщений: 6 Репутация: 0	Ну, так полагаю, всё ненужное на фиг. Процедуры проделал. Осталось поиском повылавливать закодированные файлы и отследить, какие элементы придётся искать заново или переустанавливать. Кстати, для информации. Вирус не тронул только задействованный системный диск. По всем остальным прошёлся. В частности, у меня стояла вторая (резервная) Винда на отдельном локальном диске и он её попортил. Спасибо за помощь. Алгоритм крайне полезн и не только для меня. Пойду поделюсь.

16.01.2015, 22:01	#10 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Хорошо. Далее. закрываем уязвимости Программу AVZ можно скачать здесь: https://yadi.sk/d/1oRfN6gh2gbxf Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. --------- Рекомендации Часто в комплекте с основной программой идут дополнения. При установке ВСЕХ программ нужно включать расширенный режим установки. И отказываться от установки дополнительных программы ( в большинстве случаев это Adware = рекламные блоки ) -- В антивирусе включить обнаружение потенциально нежелательных/опасных программ. -- Перед установкой программы читать о ней отзывы. -- По возможности проверять программу здесь: https://www.virustotal.com/ * Если позволяет вес программы. + Возможно вас заинтересует тема: http://pchelpforum.ru/f26/t141222/

16.01.2015, 23:36	#12 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	На самом деле уязвимостей в любой системе гораздо больше. AVZ - проверяет на самые популярные - которые наиболее часто применяют на практике злоумышленниками.

19.01.2015, 23:11	#13 (ссылка)
luftmass Новичок Регистрация: 19.01.2015 Сообщений: 15 Репутация: 0	Подскажите , так файлы удалось спасти?(фото очень жаль...)

19.01.2015, 23:19	#14 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	1) Если были копии фотографий, или документов которые вы по той, или иной причине сами удалили Можно попробовать и восстановить некоторые фотографии. Для этого воспользуйтесь программами восстановления данных. 2) При наличие платной версии антивируса - можно обратиться за тех. поддержкой. В ряде случаев могут помочь - но особо на это надеяться не стоит.

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

19.01.2015, 23:32	#15 (ссылка)
luftmass Новичок Регистрация: 19.01.2015 Сообщений: 15 Репутация: 0	Да нет, я имею ввиду файлы .xtbl удалось вернуть(расшифровать)? Стоит ли пробовать? или переустановка системы, а фалы сохранить,пока кто-нибудь не разгадает коды вымогателей?