Вирус-шифровальщик: все офисные и мультимедиа файлы стали .xtbl! Помогите расшифровать!
Прошу помощи с расшифровкой файлов после вирусов!
Симптомы болезни - 1) на ноутбуке резко замедлена, практически приостановлена, работа любых приложений, включая браузеры и эл. почту, 2) все офисные и мультимедиа файлы закодированы в абракадабру с расширением .xtbl.
Первичный осмотр - баннеров нет, блокировки компа нет, продолжение шифрования не обнаружено.
Жесткий диск был отсоединен и подключен к другому ноуту через USB, с которого произведена фиксация антивирусами AVG и Dr.Web Cure It 17 различных угроз (объекты не удалены, логи сохранены).
По условиям форума произведено сканирование AVZ и HiJackThis.
Файлы необходимы живыми! Очень прошу расшифровать!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Товарищ Яшин, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Scan completed! Логи - во вложении.
Но, ИМХО, в этом сканировании существующая проблема вряд ли нашла свое отражение,
так как анализу подвергался встроенный жесткий диск пока еще здорового компьютера, в то время как зараженный жесткий диск, подключенный через USB как локальный, при сканировании молча ждал..
Тестировать зараженный винт на родном компе практически невозможно по причине долгого зависания любого приложения. Но если это принципиально, готов ночь-другую не поспать! Что скажете?!
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Система не переустанавливалась. Система работоспособна, только оооочень мммееедллллееенннаааяя. Доступ в Интернет есть.
До обращения к вам были обезврежены 4 угрозы, которые определил Dr.Web Cure It (я поступал так раньше при борьбе с баннерами).
Далее, уже с моего компа были обнаружены 17 угроз средствами установленного у меня AVG AntiVirus Free, но я уже не стал предпринимать никаких действий по их лечению/перемещению и т.д.
Всё в ваших руках!
Oh! Yes!
Вас приветствует зараженная система со своего родного компа!
Исследования и скрипты прошли на ура. Логи - во вложении. Все пять. В той же последовательности.
Что характерно, система не тормозит как прежде.
(Только Google Chrome все время твердит о какой-то ошибке и пытается слететь с сеанса.)
Жду дальнейших указаний!
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Имя: virusinfo_auto_УЧИТЕЛЬ-HP.zip
MD5 карантина: 9CC58AF64ACEBF908C562734EB3064F0
Размер файла: 83496365 байт
Правда, загрузить архив в браузере родного компа не удалось, даже с нескольких попыток. Грузил с рабочей машины.
ИМХО, размер файла 80 Метров - это "слишком" для больной системы - она и 2-х Метровый установщик AdwCleaner тянула минут пять!
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Тем не менее, спасибо за уделенное внимание!
Была мысль сохранить зашифрованные файлы на съемном носителе - для потомков.
Может случиться, что через несколько лет появиться алгоритм расшифровки?
Или вирус-шифратор, подорвав себя по завершении работы, унес с собой алгоритм в могилу?
Есть ли шанс вернуть еще первозданную красоту накопленной пользовательской информации?