Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 11.03.2015, 08:38   #1 (ссылка)
Новичок
 
Регистрация: 20.06.2012
Сообщений: 24
Репутация: 0
По умолчанию Файлы зашифровались в *.xtbl

Добрый день.
Все документы зашифрованы с расширением .xtbl.
uVs не запускалась на зараженном ПК, жесткий диск переставил в другой и сделал логи uVs, прилагаю:

uVs
Gizmoss вне форума  
Старый 11.03.2015, 08:45   #2 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

если диск с зашифрованными доками переставили на другой комп, то в этом случае надо для образа выбирать систему диска, пострадавшего от шифратора.

вы скорее всего сделали образ не зараженной, а чистой системы.
safety вне форума  
Старый 11.03.2015, 09:09   #3 (ссылка)
Новичок
 
Регистрация: 20.06.2012
Сообщений: 24
Репутация: 0
По умолчанию

подскажите как сделать нужный образ

---------- Добавлено в 08:09 ---------- Предыдущее сообщение было написано в 07:53 ----------

при запуске uVs выбираю нужный - зараженный - каталог windows, нажимаю "запустить под пользователем" и выбдает ошибку "Не удалось подключить System, системе не удалось найти указанный путь"
Gizmoss вне форума  
Старый 11.03.2015, 09:10   #4 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

надо выбрать нужную систему вначале из меню start.exe, а затем уже нажимаем - текущий пользователь

safety вне форума  
Старый 11.03.2015, 09:45   #5 (ссылка)
Новичок
 
Регистрация: 20.06.2012
Сообщений: 24
Репутация: 0
По умолчанию

все так и сделал - вот скрин ошибки

скрин

---------- Добавлено в 08:45 ---------- Предыдущее сообщение было написано в 08:12 ----------

почитал доки, выбрал на другом диске нужную папку windows - uVs стал запускаться. но тут же закрывается с ошибкой, как было изначально на зараженном ПК
Gizmoss вне форума  
Старый 11.03.2015, 09:53   #6 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

проверьте вашу версию uVS.
должна быть 3.85.3
и пробуйте создать образ автозапуска без проверки цифровых подписей
safety вне форума  
Старый 11.03.2015, 10:02   #7 (ссылка)
Новичок
 
Регистрация: 20.06.2012
Сообщений: 24
Репутация: 0
По умолчанию

uVS версии 3.85.3 и закрывается при первом запуске во время анализа автозапуска, поэтому никакой образ в принципе создать не получается
Gizmoss вне форума  
Старый 11.03.2015, 10:05   #8 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

пробуйте с загрузочного диска создать образ зараженной системы
http://pchelpforum.ru/f26/t134964/
safety вне форума  
Ads
Старый 11.03.2015, 10:57   #9 (ссылка)
Новичок
 
Регистрация: 20.06.2012
Сообщений: 24
Репутация: 0
По умолчанию

попробовал, программа сама закрывается
Gizmoss вне форума  
Старый 11.03.2015, 11:14   #10 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

сделайте проверку в FRST
http://www.cyberforum.ru/viruses-faq/thread1362245.html
но в данном случае лог должен быть сделан на зараженной системе.
safety вне форума  
Старый 11.03.2015, 11:52   #11 (ссылка)
Новичок
 
Регистрация: 20.06.2012
Сообщений: 24
Репутация: 0
По умолчанию

теперь совсем плохо - виндовс не запускается и восстановление системы не работает.
Gizmoss вне форума  
Старый 11.03.2015, 12:22   #12 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

а что выдается в качестве ошибки загрузки системы?
safety вне форума  
Старый 11.03.2015, 14:16   #13 (ссылка)
Новичок
 
Регистрация: 20.06.2012
Сообщений: 24
Репутация: 0
По умолчанию

восстановил загрузку винды
логи FRST
Gizmoss вне форума  
Старый 11.03.2015, 14:19   #14 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

шифратор висит в процессах
Цитата:
(DuckingsInitialisationHexed DemandedDiagonallyElastic) C:\ProgramData\Windows\csrss.exe
сейчас напишу скрипт очистки
safety вне форума  
Старый 11.03.2015, 14:33   #15 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

скопируйте текст из кода в блокнот и сохраните в файле с именем fixlist.txt в папку откуда запускаете frst.exe
далее,
еще раз запустите frst.exe если не запущен и нажмите на кнопку fix

Код:
(                                                                                                    ) C:\Windows\Temp\mrt620C.tmp\stdrt.exe
(DuckingsInitialisationHexed DemandedDiagonallyElastic) C:\ProgramData\Windows\csrss.exe
HKLM-x32\...\Run: [Client Server Runtime Subsystem] => C:\ProgramData\Windows\csrss.exe [851968 2015-03-10] (DuckingsInitialisationHexed DemandedDiagonallyElastic)
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418805401&from=smt&uid=ST500DM002-1BD142_Z3TC4QFV&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418805401&from=smt&uid=ST500DM002-1BD142_Z3TC4QFV&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418805401&from=smt&uid=ST500DM002-1BD142_Z3TC4QFV&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418805401&from=smt&uid=ST500DM002-1BD142_Z3TC4QFV&q={searchTerms}
HKU\S-1-5-21-547734394-3619265981-3589435733-1154\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms}
HKU\S-1-5-21-547734394-3619265981-3589435733-1154\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms}
HKU\S-1-5-21-547734394-3619265981-3589435733-1154\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
SearchScopes: HKLM -> {8CBEA92B-8B4C-45AF-9F39-230BFDB17001} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKLM-x32 -> {8CBEA92B-8B4C-45AF-9F39-230BFDB17001} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKLM-x32 -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = http://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\S-1-5-21-547734394-3619265981-3589435733-1154 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms}
SearchScopes: HKU\S-1-5-21-547734394-3619265981-3589435733-1154 -> {13D80149-4F64-4BBD-BDA6-A47CE23CAF32} URL = http://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\S-1-5-21-547734394-3619265981-3589435733-1154 -> {8CBEA92B-8B4C-45AF-9F39-230BFDB17001} URL = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKU\S-1-5-21-547734394-3619265981-3589435733-1154 -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3321139&octid=EB_ORIGINAL_CTID&ISID=ME3ECD440-501D-48EC-B470-EC92CFE756A8&SearchSource=58&CUI=&UM=8&UP=SP33EEC9B1-ECF8-4519-A4C8-A11F2DF1884C&q={searchTerms}&SSPV=
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1418805401&from=smt&uid=ST500DM002-1BD142_Z3TC4QFV
CHR Extension: (No Name) - C:\Users\savenkovaa\AppData\Local\Google\Chrome\User Data\Default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2014-09-19]
CHR Extension: (No Name) - C:\Users\savenkovaa\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdgncmfemcgcpdmchnenmkgfdpedokgo [2014-12-12]
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
S1 {693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gw64; system32\drivers\{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gw64.sys [X]
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe /svc [X]
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe /medsvc [X]
S3 bupeawda; \\?\C:\USERS\SAVENKOVAA\DOWNLOADS\UVS_V385.3\dtaqss !\\-1\000 [X]
Reboot:
------
после перезагрузки проверьте возможность восстановления документов из теневой копии,
так как зашифрованы у вас документы на диске C
(возможно и на других дисках)
safety вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Aайлы превратились в файлы с расширением .xtbl Rustam66 Безопасность 10 08.03.2015 01:11
Все файлы превратились в файлы с расширением .xtbl 7474 Безопасность 6 05.03.2015 01:08
Выручайте файлы в единственном экземпляре зашифровали в.xtbl Lizer2210 Безопасность 1 02.03.2015 13:21
Файлы зашифрованы под формат xtbl Katichka Общение по интересам 1 26.02.2015 19:38
Все изображения превратились в файлы с расширением .xtbl Lakkuchu Безопасность 17 24.02.2015 00:06


Текущее время: 13:23. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.