Зашифрованы файлы (все с расширением xtbl)

**MURZ** · 29.12.2014, 11:41

С утра обнаружил, что почти все файлы на машине переименованы в длинные названия с расширением xtbl.
Соответственно они не открываются. На рабочем столе на черном фоне красная надпись - Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков.
AVZ не обновляется (вылетает ошибка), хотя базы не особенно старые, на прошлой неделе обновлял.
Буду благодарен за любую помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 29.12.2014, 11:42

Уважаемый(ая) MURZ, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 29.12.2014, 12:05

Выполните скрипт в AVZ

Код:

 begin
 DeleteFile('C:\Documents and Settings\TIK\5186791.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

**MURZ** · 29.12.2014, 15:27

Скрипт выполнил, сканирование прошло (более 2-х часов), логи в txt сохраняет адрес сайта, XML не прикрепляется. Прога пишет обнаруженывредоносные элементы: 1019
Элементы non-вредоносные программы, обнаруженные: 9
Или чего не так делаю?

- - - - -Добавлено - - - - -

Новые логи

**thyrex** · 29.12.2014, 15:58

Попробуйте эту версию МВАМ http://virusinfo.info/soft/mbam-setup-1.75.0.1300.exe

**MURZ** · 30.12.2014, 07:54

Просканировал

**thyrex** · 30.12.2014, 11:18

Удалите в МВАМ только указанные ниже записи

Код:

Обнаруженные ключи в реестре:  4
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Действие не было предпринято.
HKLM\SOFTWARE\JetSwap (Adware.JetSwap) -> Действие не было предпринято.
HKLM\SOFTWARE\System32 (Backdoor.Bifrose) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ˜цНаHmjЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcwА<†y+Ў%…¦DйУDн–КUД°e?‹8ЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCcЯА-YCc…og˜!Љ™ -> Действие не было предпринято.

Обнаруженные папки:  37
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> Действие не было предпринято.

Обнаруженные файлы:  990
C:\SafeSurf\Push.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\SafeSurf\safesurf.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Windows\csrss.exe (Worm.Korron) -> Действие не было предпринято.

**MURZ** · 30.12.2014, 12:48

Удалил

**thyrex** · 30.12.2014, 12:51

Пришлите пример зашифрованного файла (в архиве)

**MURZ** · 30.12.2014, 12:56

Высылаю

**thyrex** · 30.12.2014, 13:11

Увы, порадовать нечем

Без тела шифровальщика сказать что-то определенное трудно. А оно пока не попадалось

**MURZ** · 30.12.2014, 13:14

В соседней теме аналогичная проблема проблема, похоже тот же вирь.
Может там тело отыщется.
http://virusinfo.info/showthread.php?t=173712

**thyrex** · 30.12.2014, 13:27

Сомнительно. Оно даже в вирлаб ЛК не попадало ни разу

**MURZ** · 30.12.2014, 13:32

Печально, но что ж, остается только ждать.
В любом случае спасибо за помощь!

**MURZ** · 12.01.2015, 10:47

В личку получил сообщение от пользователя Junior Member следующего содержания:

вирус тело !!! шифратор

привет я насчет вируса у меня было тоже самое
у меня нет доступа им написать
короче чтобы написать дешифратор нужен был сам вирус и его тело у меня есть
прикладываю ссылку скачай там все будет в архиве и напиши в поддержку в продолжении темы им очень нужны эти файлы.
у меня вирус запорол 150 гигов музыки
в архиве будет два архива один запускач и сам шифратор

[скрыто]
пароль для скачки 1234561
на самом архиве пароля нет !

да и еще вирус лезет через программу JETSWAP ? знакомо ?
если да пиши расскажу как сделать чтобы вирус больше не лез
вот лог нода приложу
C:\virus_send_drweb\ED33.rar = RAR = ED33.tmp - Win32/Filecoder.ED троянская программа

мне писать дешифратор нет времени ребята я думаю помогут
удачи будет результат пиши

в общем я тебе прислал то что нужно ребятам для написания дешифратора
отправь им этот архив.
надеюсь что-нибудь выйдет
удачи

Зашифрованы файлы (все с расширением xtbl) (заявка № 173668)

Опции темы

Зашифрованы файлы (все с расширением xtbl)

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Это понравилось:

Антивирусная помощь

Похожие темы

Зашифрованы файлы расширением .just

Зашифрованы файлы с расширением just!

Все файлы зашифрованы с расширением .just

Ваши файлы и базы данных зашифрованы. Все файлы doc,xls,jpg с изменённым расширением

Зашифрованы файлы! Все файлы стали с расширением *.BoX26

Ваши права в разделе