23.02.2015, 18:27 | #1 (ссылка) |
Новичок
Регистрация: 23.02.2015
Сообщений: 9
Репутация: 0
|
Все изображения превратились в файлы с расширением .xtbl
Внезапно все изображения превратились в файлы с расширением .xtbl. К данному "подарку" прилагалась записка следующего содержания: "Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код: 9454AC9D916608A7B1A3|11|2|11 на электронный адрес decoder1112@gmail.com или deshifrovka@india.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации." Ясно, что словил вируса, так как перед этим начал сходить с ума Avast. Помогите, пожалуйста, избавиться от него и дешифровать файлы |
23.02.2015, 18:30 | #2 (ссылка) |
Эксперт
|
Без лога uVS тут не помогают.Инструкция http://pchelpforum.ru/f26/t6442/
|
23.02.2015, 19:09 | #3 (ссылка) |
Новичок
Регистрация: 23.02.2015
Сообщений: 9
Репутация: 0
|
One moment. http://rghost.ru/6sp6qNR2m
---------- Добавлено в 17:38 ---------- Предыдущее сообщение было написано в 17:37 ---------- Не могу включить в безопасном режиме ---------- Добавлено в 17:48 ---------- Предыдущее сообщение было написано в 17:38 ---------- Тысячекратно извиняюсь. Сейчас сделаю лог в безопасном режиме. ---------- Добавлено в 18:09 ---------- Предыдущее сообщение было написано в 17:48 ---------- Вот, пожалуйста ---------- Добавлено в 18:09 ---------- Предыдущее сообщение было написано в 18:09 ---------- http://rghost.ru/7d6w9PL5P |
23.02.2015, 19:25 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\BONANZADEALSLIVE.EXE addsgn 1AD2539A5583358CF42BC4BD0CD02344256278F689FA940D8D4633C825554CD02F56C3544B16F74DC3A8A29F464FCA9F81DFBE9A05FCB02C74FEE1CB42C6567A 8 Adware.Shopper.363 [DrWeb] zoo %SystemDrive%\USERS\ЖД\APPDATA\ROAMING\METACRAWLER\UPDATEPROC\UPDATETASK.EXE addsgn A7679B19919AF4526295AE59282AECFA4F8B940ED1BB1F10A99A84BC38B6280D23AE7F3E7F5527A542C18427AA7F08FA958CB78DAA3286FCD388A42F38F9DD8C 9 a variant of Win32/DealPly.O zoo %SystemDrive%\USERS\ЖД\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE addsgn A7679B23526A4C7261D4C4B12DBDEB549D06E8B78912614E7A3CF67C05BEE25A6217A7A80E311469C3539560B99389F5F980E9725532B2B2D288296A2BEED44D 18 Adware.Shopper.331 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62D78D5F7B 64 Win32:DealPly-A [PUP] zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEONDEMAND.EXE addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2CF4C6622E 8 Adware.Shopper.363 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEBROKER.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\PSMACHINE.DLL addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD9274CC7A9A2 64 Win32:DealPly-A [PUP] zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\GOOPDATE.DLL addsgn 79132211B9E9317E0AA1AB59229C1205DAFFF47DC4EA942D892B2942AF292811E11BC33D323D95EF21986C807B16497108D76D8421AF33118901AF37C4736119 64 Win32/DealPly.L [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEHANDLER.EXE zoo %SystemDrive%\USERS\ЖД\APPDATA\ROAMING\5894C7AC\BIN.EXE delall %SystemDrive%\USERS\ЖД\APPDATA\ROAMING\5894C7AC\BIN.EXE delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE del %SystemDrive%\USERS\ЖД\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT del %SystemDrive%\USERS\ЖД\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT del %SystemDrive%\USERS\ЖД\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT del %SystemDrive%\USERS\ЖД\APPDATA\ROAMING\BROWSERS\EXE.RESWORBOEDIV.BAT del %SystemDrive%\LAUNCHER.BAT del E:\GAMES\LAUNCHER.BAT del E:\LAUNCHER.BAT ;------------------------autoscript--------------------------- chklst delvir delref {AE805869-2E5C-4ED4-8F7B-F1F7851A4497}\[CLSID] delref %SystemDrive%\USERS\ЖД\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delref HTTP://WWW.SEARCH.ASK.COM/?TPID=REAL1-SP&O=APN11675&PF=V7&TRGB=IE&P2=%5EBMQ%5EDEFAULT%5EYY%5EUS&GCT=HP&APN_PTNRS=BMQ&APN_DTID=%5EDEFAULT%5EYY%5EUS&APN_DBR=BROWSER.EXE_0_38.0.2125.10034&APN_UID=19EA0D6C-7C63-4BC0-A534-56656E2443F6&ITBV=12.21.0.129&DOI=2015-02- regt 28 regt 29 ; Conduit Engine exec C:\PROGRA~2\CONDUI~1\ConduitEngineUninstall.exe ; OpenAL exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U ; Remote Desktop Access (VuuPC) exec C:\Users\жд\AppData\Roaming\VOPackage\uninstall.exe ; Java(TM) 6 Update 32 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216032FF} /quiet deldirex %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0 deltmp delnfr ;------------------------------------------------------------- restart архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes ----------------- + вопрос: когда произошло шифрование данных? |
23.02.2015, 19:37 | #5 (ссылка) |
Новичок
Регистрация: 23.02.2015
Сообщений: 9
Репутация: 0
|
Точно сказать не могу. Неделю назад всё было в порядке. А сегодня обнаружил, что все файлы именно в папке "Изображения" зашифрованы.
---------- Добавлено в 18:37 ---------- Предыдущее сообщение было написано в 18:36 ---------- Извините за глупый вопрос, какой архив отправить на почту? |
23.02.2015, 20:36 | #9 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
если защита диска E не включена, значит документы невозможно будет восстановить из теневой копии тома.
по умолчанию защита тома включена только для системного диска, поэтому иногда получается вытащить документы с теневых копий системного диска. по расшифровке документов решения нет. на сегодня. ----------- по очистке системы Цитата:
|
|
23.02.2015, 20:45 | #11 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
пока мбам сканирует систему, прочтите это по шифраторам
http://chklst.ru/forum/discussion/14...umnoy-tolpoyu- |
23.02.2015, 21:17 | #13 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
да, шифратор xtbl попадает скорее всего через браузер (при посещении каких то страниц).
сейчас наиболее активна группа шифраторов: xtbl, СTB-locker, encoder.741, Cryakl, Encoder.398, опять набирает силу bat.encoder (вариант vault) расшифровка есть только по двум: 741 и 398 в ДрВеб |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Чем открыть файлы с расширением SID? | Natex | Графика | 1 | 13.11.2011 21:42 |
Все файлы превратились в текстовый документ. | Dmitry123 | Windows 7 | 0 | 03.08.2010 20:47 |
Как разархивировать файлы с расширением rar | Marishka | Офис | 7 | 09.10.2009 13:51 |
Файлы с расширением *.iso *.mdf | Luckashoff | Программы | 10 | 08.08.2009 23:47 |
Файлы с расширением PQE | ruzi | Железо | 2 | 28.04.2008 14:31 |