Зашифрованные файлы

iRomul · 05.02.2015, 22:03

Расширение у зашифрованных файлов - xtbl. Обнаружил их на файловом разделе. На системном разделе команда "find -name "*xtbl"" таких файлов не нашла.
Спасибо.
AVZ
uVS

RP55.RP55 · 05.02.2015, 22:41

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код:

     


;uVS v3.85.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
bl 186DB369A20C9E1DF314C989739A81DE 900096
ZOO %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
zoo %SystemRoot%\CHROMEMNGR.EXE
bl BD36A28E07FAD43AFD9D96E8C1D0AD06 99116
delall %SystemRoot%\CHROMEMNGR.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\MAFIA - THE CITY OF LOST HEAVEN\UNINSTALL\UNINS000.EXE
del %SystemDrive%\PROGRAM FILES (X86)\MAFIA - THE CITY OF LOST HEAVEN\UNINSTALL\UNINS000.EXE
deltmp
delnfr
czoo
restart

-------------

Если не устанавливали программу Waspace выполните также этот скрипт.

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код:

     


;uVS v3.85.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
bl C11D14C7DD78F527D4A9F32E86D707BA 1740840
delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\WINDOWS\WAAGENT.EXE
bl 48B9DFF8A68F1B279D2E40ABEBC46B78 1058872
delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\WINDOWS\WASPPACER.EXE
bl 4984FCDF4A3C37D7E2AA44F50F438560 369712
delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\WINDOWS\WASUB.EXE
deltmp
delnfr

Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://pchelpforum.ru/showpost.php?p=206554&postcount=6
Выбрать Гипер сканирование*. Отчет предоставить для анализа( в своей теме на форуме ) .
*Если Гипер сканирование не запускается:
Выберите первый вариант сканирования ( Угроза сканирования )

safety · 06.02.2015, 08:24

кстати, этот файл и есть шифратор xtbl

Цитата:

Полное имя C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла CSRSS.EXE
Тек. статус ?ВИРУС? [Запускался неявно или вручную]

www.virustotal.com 2015-02-04
Kaspersky Backdoor.Win32.Androm.geud
ESET-NOD32 a variant of MSIL/Injector.HOH

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
File_Id 54CFB70BE0000
Linker 6.0
Размер 900096 байт
Создан 04.02.2015 в 15:10:49
Изменен 04.02.2015 в 15:10:49

TimeStamp 02.02.2015 в 17:42:35
EntryPoint +
OS Version 4.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя etopervii.exe
Версия файла 3608.6678.485.9396
Описание Reannouncement ricercata Rabato
Производитель Redcap
Комментарий overmultiplying

Доп. информация на момент обновления списка
SHA1 0CDA4F569D23E4584953BA87C35885735AD5A748
MD5 186DB369A20C9E1DF314C989739A81DE

Ссылки на объект
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

если скрипт еще не выполнен, сделайте копию этого файла,
и вышлите в архиве с паролем infected на адрес safety@chklst.ru

iRomul · 06.02.2015, 17:47

RP55.RP55, скрипты выполнены, сканирование пока идет.

safety, нет, к сожалению ничего не осталось, включая самих зашифрованных файлов. Кстати, если у вас есть образец - скиньте мне его, пожалуйста, на почту hellromul@gmail.com.

В принципе сейчас проблем не наблюдается, вроде все чисто. Меня больше волнует, как оно в принципе попало ко мне. На другом форуме подсказали, что подключились по RDP, подобрав пароль. Как в таком случае обезопасить себя?

safety · 06.02.2015, 17:52

если это личный комп, то следует поработать по нескольким направлениям.

1. изучение методов соц_инженерии

2. настройка локальных политик по ограниченному запуску программ.
(чтобы из каких попало мест исполняемые файлы не запускались.)

3. настроить фаерволл в режиме: никого не впускаем из внешней сети без разрешения или правила, выпускаем от себя в сеть только доверенные приложения.
---------
+
почитать
http://chklst.ru/forum/discussion/14...olpoyu-#Item_3

4. если зашифрованных файлов нет, тогда проще.. (ничего не надо расшифровывать), но раз такие номера проходят, значит подумать о создании копий важных документов.
можно шифроконтейнер использовать: например от truecrypt или steganos.

alexandr2 · 08.02.2015, 15:09

Помогите мне, у меня зашифровались документы и картинки, расширение файла XTBL, поставил программу uVS v3.85. Сделал образ. Куда отправить, чтобы мне помогли расшифровать комп. файлы. Помогите. Заранее благодарен.

---------- Добавлено в 13:09 ---------- Предыдущее сообщение было написано в 13:08 ----------

вот образ, запаковалось программой, пароля нет http://rghost.ru/8FG5XTckz

safety · 08.02.2015, 15:21

alexanr2,
по очистке системы выполните скрипт в uVS и дальнейшие рекомендации

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\TBCCINT\TOOLBARSERVICE\TOOLBARSERVICE.EXE
addsgn 1A17D79A5583378CF42BFB3A884B6F0D25FFF709FCF6F7AB7D3C3AE50D1527C7561B46A14B58623C23688C69B9E910C9BD34A521BEEA35DA5876E27938732A19 8 Conduit.SearchProtect.N [ESET-NOD32]

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\CHROME.BAT
del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT
del %SystemDrive%\PROGRAM FILES\OPERA\LAUNCHER.BAT
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TBCCINT\COMMUNITY ALERTS\ALERT.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref {96F454EA-9D38-474F-B504-56193E00C1A5}\[CLSID]

; etranslator
exec C:\Users\User\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall
; WebSecurity Extension version 16.40
exec C:\Program Files\funex\unins000.exe
REGT 28
REGT 29

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
2. по расшифровке файлов не поможем, нет расшифровки по *xtbl
3. пробуйте восстановить зашифрованные файлы другим образом. (через архивные копии, если есть, через теневые копии тома, если есть такие, через процедуры восстановления удаленных файлов, если получится).

alexandr2 · 08.02.2015, 16:02

ничего не поменялось, выполнял 3 скрипта

safety · 08.02.2015, 16:03

о каких трех скриптах речь?

alexandr2 · 08.02.2015, 16:05

как мне тогда вылечить файлы свои? Уже каспера поставил, систему всю лечил. Ничего не помогает((( и доки все и фотки все(

---------- Добавлено в 14:05 ---------- Предыдущее сообщение было написано в 14:04 ----------

в этой теме.. я их пробовал.

safety · 08.02.2015, 16:09

по зашифрованных файлам, еще раз повторяю, расшифровки в вирлабах нет. если сильно надо восстановить файлы - обратитесь к злодеям. расшифруют поди. но за деньги. и немалые.

safety · 09.02.2015, 14:36

iRomul, проверьте возможность восстановить данные из теневой копии тома. Чем раньше это сделать, тем лучше, поскольку пространство, зарезервированное под теневые копии ограничено. 3-5% от емкости диска. старые точки будут затираться, чтобы была возможность создать новые.

05.02.2015, 22:03	#1 (ссылка)
iRomul Знаток Регистрация: 26.06.2008 Сообщений: 2,631 Записей в блоге: 1 Репутация: 152	Зашифрованные файлы Расширение у зашифрованных файлов - xtbl. Обнаружил их на файловом разделе. На системном разделе команда "find -name "*xtbl"" таких файлов не нашла. Спасибо. AVZ uVS

05.02.2015, 22:41	#2 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	Скопировать текст КОДА - в буфер обмена. uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку ! На вопросы программы отвечаем: Да ! Код: ;uVS v3.85.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c bl 186DB369A20C9E1DF314C989739A81DE 900096 ZOO %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE zoo %SystemRoot%\CHROMEMNGR.EXE bl BD36A28E07FAD43AFD9D96E8C1D0AD06 99116 delall %SystemRoot%\CHROMEMNGR.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\MAFIA - THE CITY OF LOST HEAVEN\UNINSTALL\UNINS000.EXE del %SystemDrive%\PROGRAM FILES (X86)\MAFIA - THE CITY OF LOST HEAVEN\UNINSTALL\UNINS000.EXE deltmp delnfr czoo restart ------------- Если не устанавливали программу Waspace выполните также этот скрипт. Скопировать текст КОДА - в буфер обмена. uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку ! На вопросы программы отвечаем: Да ! Код: ;uVS v3.85.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c bl C11D14C7DD78F527D4A9F32E86D707BA 1740840 delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\WINDOWS\WAAGENT.EXE bl 48B9DFF8A68F1B279D2E40ABEBC46B78 1058872 delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\WINDOWS\WASPPACER.EXE bl 4984FCDF4A3C37D7E2AA44F50F438560 369712 delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\WINDOWS\WASUB.EXE deltmp delnfr Далее (даже если проблема решена) выполнить лог программой Malwarebytes http://pchelpforum.ru/showpost.php?p=206554&postcount=6 Выбрать Гипер сканирование. Отчет предоставить для анализа( в своей теме на форуме ) . Если Гипер сканирование не запускается: Выберите первый вариант сканирования ( Угроза сканирования ) Последний раз редактировалось safety; 06.02.2015 в 08:25.

08.02.2015, 15:21	#7 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	alexanr2, по очистке системы выполните скрипт в uVS и дальнейшие рекомендации выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.85.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\TBCCINT\TOOLBARSERVICE\TOOLBARSERVICE.EXE addsgn 1A17D79A5583378CF42BFB3A884B6F0D25FFF709FCF6F7AB7D3C3AE50D1527C7561B46A14B58623C23688C69B9E910C9BD34A521BEEA35DA5876E27938732A19 8 Conduit.SearchProtect.N [ESET-NOD32] zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\CHROME.BAT del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT del %SystemDrive%\PROGRAM FILES\OPERA\LAUNCHER.BAT delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TBCCINT\COMMUNITY ALERTS\ALERT.DLL ;------------------------autoscript--------------------------- chklst delvir delref {96F454EA-9D38-474F-B504-56193E00C1A5}\[CLSID] ; etranslator exec C:\Users\User\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall ; WebSecurity Extension version 16.40 exec C:\Program Files\funex\unins000.exe REGT 28 REGT 29 deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- 2. по расшифровке файлов не поможем, нет расшифровки по *xtbl 3. пробуйте восстановить зашифрованные файлы другим образом. (через архивные копии, если есть, через теневые копии тома, если есть такие, через процедуры восстановления удаленных файлов, если получится).

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Грузит процессор, некоторые файлы стали ярлыками, на флешке все файлы - ярлыки.	andreiak	Безопасность	5	18.02.2014 14:03
Востанавливаем файлы или "А как вы восстанавливали файлы?"	Treder	Программы	8	29.01.2014 08:22
Зашифрованные папки и файлы!	ASK	Windows XP	3	18.01.2011 14:19
Зашифрованные данные	AViZ	Windows XP	3	09.12.2010 21:20
Не открываются текстовые файлы и изображения и к ним создались файлы с расшир. drweb	leda	Безопасность	13	03.10.2009 23:29

06.02.2015, 17:47	#4 (ссылка)
iRomul Знаток Регистрация: 26.06.2008 Сообщений: 2,631 Записей в блоге: 1 Репутация: 152	RP55.RP55, скрипты выполнены, сканирование пока идет. safety, нет, к сожалению ничего не осталось, включая самих зашифрованных файлов. Кстати, если у вас есть образец - скиньте мне его, пожалуйста, на почту hellromul@gmail.com. В принципе сейчас проблем не наблюдается, вроде все чисто. Меня больше волнует, как оно в принципе попало ко мне. На другом форуме подсказали, что подключились по RDP, подобрав пароль. Как в таком случае обезопасить себя?

06.02.2015, 17:52	#5 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	если это личный комп, то следует поработать по нескольким направлениям. 1. изучение методов соц_инженерии 2. настройка локальных политик по ограниченному запуску программ. (чтобы из каких попало мест исполняемые файлы не запускались.) 3. настроить фаерволл в режиме: никого не впускаем из внешней сети без разрешения или правила, выпускаем от себя в сеть только доверенные приложения. --------- + почитать http://chklst.ru/forum/discussion/14...olpoyu-#Item_3 4. если зашифрованных файлов нет, тогда проще.. (ничего не надо расшифровывать), но раз такие номера проходят, значит подумать о создании копий важных документов. можно шифроконтейнер использовать: например от truecrypt или steganos.

08.02.2015, 15:09	#6 (ссылка)
alexandr2 Новичок Регистрация: 08.02.2015 Сообщений: 3 Репутация: 0	Помогите мне, у меня зашифровались документы и картинки, расширение файла XTBL, поставил программу uVS v3.85. Сделал образ. Куда отправить, чтобы мне помогли расшифровать комп. файлы. Помогите. Заранее благодарен. ---------- Добавлено в 13:09 ---------- Предыдущее сообщение было написано в 13:08 ---------- вот образ, запаковалось программой, пароля нет http://rghost.ru/8FG5XTckz

08.02.2015, 16:02	#8 (ссылка)
alexandr2 Новичок Регистрация: 08.02.2015 Сообщений: 3 Репутация: 0	ничего не поменялось, выполнял 3 скрипта

08.02.2015, 16:03	#9 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	о каких трех скриптах речь?

08.02.2015, 16:05	#10 (ссылка)
alexandr2 Новичок Регистрация: 08.02.2015 Сообщений: 3 Репутация: 0	как мне тогда вылечить файлы свои? Уже каспера поставил, систему всю лечил. Ничего не помогает((( и доки все и фотки все( ---------- Добавлено в 14:05 ---------- Предыдущее сообщение было написано в 14:04 ---------- в этой теме.. я их пробовал.

08.02.2015, 16:09	#11 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	по зашифрованных файлам, еще раз повторяю, расшифровки в вирлабах нет. если сильно надо восстановить файлы - обратитесь к злодеям. расшифруют поди. но за деньги. и немалые.

09.02.2015, 14:36	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	iRomul, проверьте возможность восстановить данные из теневой копии тома. Чем раньше это сделать, тем лучше, поскольку пространство, зарезервированное под теневые копии ограничено. 3-5% от емкости диска. старые точки будут затираться, чтобы была возможность создать новые.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads