Показано с 1 по 18 из 18.

Вирус-шифровальщик: все офисные и мультимедиа файлы стали .xtbl! Помогите расшифровать! (заявка № 176519)

  1. #1
    Junior Member Репутация
    Регистрация
    04.02.2015
    Сообщений
    17
    Вес репутации
    34

    Вирус-шифровальщик: все офисные и мультимедиа файлы стали .xtbl! Помогите расшифровать!

    Прошу помощи с расшифровкой файлов после вирусов!
    Симптомы болезни - 1) на ноутбуке резко замедлена, практически приостановлена, работа любых приложений, включая браузеры и эл. почту, 2) все офисные и мультимедиа файлы закодированы в абракадабру с расширением .xtbl.
    Первичный осмотр - баннеров нет, блокировки компа нет, продолжение шифрования не обнаружено.
    Жесткий диск был отсоединен и подключен к другому ноуту через USB, с которого произведена фиксация антивирусами AVG и Dr.Web Cure It 17 различных угроз (объекты не удалены, логи сохранены).
    По условиям форума произведено сканирование AVZ и HiJackThis.
    Файлы необходимы живыми! Очень прошу расшифровать!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Товарищ Яшин, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  6. Это понравилось:


  7. #4
    Junior Member Репутация
    Регистрация
    04.02.2015
    Сообщений
    17
    Вес репутации
    34
    Scan completed! Логи - во вложении.
    Но, ИМХО, в этом сканировании существующая проблема вряд ли нашла свое отражение,
    так как анализу подвергался встроенный жесткий диск пока еще здорового компьютера, в то время как зараженный жесткий диск, подключенный через USB как локальный, при сканировании молча ждал..
    Тестировать зараженный винт на родном компе практически невозможно по причине долгого зависания любого приложения. Но если это принципиально, готов ночь-другую не поспать! Что скажете?!
    Вложения Вложения

  8. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      HKLM-x32\...\Run: [] => [X]
      HKU\S-1-5-21-606716159-2009502785-1818694557-1000\...\Run: [] => [X]
      BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
      2015-01-12 15:26 - 2015-01-12 15:26 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieUserList
      2015-01-12 15:26 - 2015-01-12 15:26 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieSiteList
      2015-01-12 15:26 - 2015-01-12 15:26 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieBrowserModeList
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. Это понравилось:


  10. #6
    Junior Member Репутация
    Регистрация
    04.02.2015
    Сообщений
    17
    Вес репутации
    34
    Done!
    Вложения Вложения

  11. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Тестировать зараженный винт на родном компе практически невозможно по причине долгого зависания любого приложения.
    На этом диске остались только зашифрованные файлы? Система переустанавливалась?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  12. Это понравилось:


  13. #8
    Junior Member Репутация
    Регистрация
    04.02.2015
    Сообщений
    17
    Вес репутации
    34
    Система не переустанавливалась. Система работоспособна, только оооочень мммееедллллееенннаааяя. Доступ в Интернет есть.
    До обращения к вам были обезврежены 4 угрозы, которые определил Dr.Web Cure It (я поступал так раньше при борьбе с баннерами).
    Далее, уже с моего компа были обнаружены 17 угроз средствами установленного у меня AVG AntiVirus Free, но я уже не стал предпринимать никаких действий по их лечению/перемещению и т.д.
    Всё в ваших руках!

  14. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Система работоспособна, только оооочень мммееедллллееенннаааяя.
    Логи непосредственно с этой системы можете снять?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. Это понравилось:


  16. #10
    Junior Member Репутация
    Регистрация
    04.02.2015
    Сообщений
    17
    Вес репутации
    34
    Вас понял! Одна бессонная ночь - и логи у вас!
    наверное....

  17. #11
    Junior Member Репутация
    Регистрация
    04.02.2015
    Сообщений
    17
    Вес репутации
    34
    Oh! Yes!
    Вас приветствует зараженная система со своего родного компа!
    Исследования и скрипты прошли на ура. Логи - во вложении. Все пять. В той же последовательности.
    Что характерно, система не тормозит как прежде.
    (Только Google Chrome все время твердит о какой-то ошибке и пытается слететь с сеанса.)
    Жду дальнейших указаний!
    Вложения Вложения

  18. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      HKLM-x32\...\Run: [] => [X]
      GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
      CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      FF Extension: No Name - C:\Users\учитель\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2014-01-05]
      FF HKU\S-1-5-21-578911478-3002115345-1880500608-1001\...\Firefox\Extensions: [{A7CB7E6E-035E-B31C-D7CC-50F8151A4100}] - C:\Program Files (x86)\BlockAndSurf-soft\171.xpi
      CHR HomePage: Default -> 5B138D5048DE6C026C1D0D7912CCCB4F5BE9B6B6D223FEF5520D82CB22FCDBF4
      CHR DefaultSearchKeyword: Default -> 225CC60F15D05AF764995C0E3E025BBD2394A2EDEA5589E3968CCBF57859D8E7
      CHR DefaultSearchURL: Default -> 93BEA13F9F79D8B3AE0DB15EB2F81A466EA788BFA7C2F03CC6111259A576700E
      CHR Extension: (No Name) - C:\Users\учитель\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-08-23]
      CHR Extension: (No Name) - C:\Users\учитель\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-08-23]
      CHR Extension: (No Name) - C:\Users\учитель\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2014-09-01]
      CHR Extension: (No Name) - C:\Users\учитель\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-08-23]
      CHR Extension: (No Name) - C:\Users\учитель\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-08-23]
      CHR Extension: (No Name) - C:\Users\учитель\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-08-23]
      CHR Extension: (No Name) - C:\Users\учитель\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-08-23]
      Folder: C:\Users\Все пользователи\Windows
      Folder: C:\ProgramData\Windows
      2015-01-20 09:27 - 2015-01-26 21:45 - 00000000 __SHD () C:\Users\Все пользователи\Windows
      2015-01-20 09:27 - 2015-01-26 21:45 - 00000000 __SHD () C:\ProgramData\Windows
      2015-01-28 09:12 - 2014-04-15 12:05 - 00000000 ____D () C:\Program Files (x86)\BrowseMark
      2015-01-28 09:04 - 2014-01-05 18:41 - 00000000 ____D () C:\Users\учитель\AppData\Local\genienext
      2015-01-28 09:04 - 2014-01-05 18:40 - 00000000 ____D () C:\Users\учитель\AppData\Roaming\1H1Q
      2015-01-28 09:04 - 2014-01-05 18:40 - 00000000 ____D () C:\Program Files (x86)\Mobogenie
      2015-01-26 21:50 - 2014-04-15 12:06 - 00000000 ____D () C:\Program Files (x86)\VuuPC
      2015-01-21 09:04 - 2014-01-05 18:47 - 00000000 ____D () C:\Users\учитель\AppData\Roaming\smwdgt
      2014-01-05 18:47 - 2014-01-05 18:47 - 0000006 _____ () C:\Users\учитель\AppData\Roaming\smw_inst
      Task: {0628BA35-97F2-4836-A90A-93E26CA9FB73} - \pricemetertask No Task File <==== ATTENTION
      Task: {0CCA82FF-ECDD-476B-B99A-3CAC43151B5A} - System32\Tasks\VuuPCUpdateLogin => C:\Program Files (x86)\VuuPC\VuuPCUpdater.exe [2014-05-08] (VuuPC Limited)
      Task: {0CEE577F-5ECB-49DB-8C39-51C54984BDAD} - \pricemeterwatcher No Task File <==== ATTENTION
      Task: {2CE94F81-76A5-47B6-85CE-16CF5246C7CA} - System32\Tasks\VuuPCUpdate => C:\Program Files (x86)\VuuPC\VuuPCUpdater.exe [2014-05-08] (VuuPC Limited)
      Task: {F0E88F4E-AD7D-45DD-8D82-1A1E72CA68E5} - \Yahoo! Search No Task File <==== ATTENTION
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. Это понравилось:


  20. #13
    Junior Member Репутация
    Регистрация
    04.02.2015
    Сообщений
    17
    Вес репутации
    34
    Done!

    Имя: virusinfo_auto_УЧИТЕЛЬ-HP.zip
    MD5 карантина: 9CC58AF64ACEBF908C562734EB3064F0
    Размер файла: 83496365 байт

    Правда, загрузить архив в браузере родного компа не удалось, даже с нескольких попыток. Грузил с рабочей машины.
    ИМХО, размер файла 80 Метров - это "слишком" для больной системы - она и 2-х Метровый установщик AdwCleaner тянула минут пять!
    Вложения Вложения

  21. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  22. #15
    Junior Member Репутация
    Регистрация
    04.02.2015
    Сообщений
    17
    Вес репутации
    34
    "Так не доставайся же ты никому!" - как сказал бы Классик.
    Удалил все папки.
    Лог вам судья...
    Вложения Вложения

  23. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Логи в порядке. С расшифровкой помочь не сможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  24. Это понравилось:


  25. #17
    Junior Member Репутация
    Регистрация
    04.02.2015
    Сообщений
    17
    Вес репутации
    34
    Тем не менее, спасибо за уделенное внимание!
    Была мысль сохранить зашифрованные файлы на съемном носителе - для потомков.
    Может случиться, что через несколько лет появиться алгоритм расшифровки?
    Или вирус-шифратор, подорвав себя по завершении работы, унес с собой алгоритм в могилу?
    Есть ли шанс вернуть еще первозданную красоту накопленной пользовательской информации?

  26. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Может случиться, что через несколько лет появиться алгоритм расшифровки?
    Может быть.

    Или вирус-шифратор, подорвав себя по завершении работы, унес с собой алгоритм в могилу?
    Алгоритм шифрования RSA
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  27. Это понравилось:


Похожие темы

  1. Помогите расшифровать файлы xtbl
    От ivanka1998 в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 19.01.2015, 23:04
  2. Ответов: 6
    Последнее сообщение: 15.01.2015, 14:06
  3. Помогите расшифровать файлы с .XTBL
    От Vadim800 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 13.01.2015, 23:45
  4. Ответов: 2
    Последнее сообщение: 20.10.2014, 18:45

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01426 seconds with 20 queries