все файлы в расширениях .xtbl. вирус шифратор

**Сергей Корчёмкин** · 17.03.2015, 22:18

Как это получилось, для меня остается загадкой. Компьютер сам перезагрузился с черным отображением рабочего стола с красной надписью и с приблизительным текстом: "ваши файлы зашифрованы, что бы вернуть их (расшифровать) прочитайте файл .txt, мы поможем Вам". все файлы были переименованы и получили расширение .xtbl.
текст в файле README1: Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:
1D585C5C896FF179619B|0
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
1D585C5C896FF179619B|0
to e-mail address [email protected] or [email protected] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.03.2015, 22:20

Уважаемый(ая) Сергей Корчёмкин, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 18.03.2015, 01:35

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\iexplore.bat','');
 TerminateProcessByName('c:\users\Сергей\appdata\local\host installer\2920471373_monster.exe');
 QuarantineFile('c:\users\Сергей\appdata\local\host installer\2920471373_monster.exe','');
 DeleteFile('c:\users\Сергей\appdata\local\host installer\2920471373_monster.exe','32');
 DeleteFile('C:\iexplore.bat','32');
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите checkbrowserslnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
Прикрепите этот отчет в вашей теме.

**Сергей Корчёмкин** · 18.03.2015, 16:06

Карантин сбросил.

**mike 1** · 18.03.2015, 17:22

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

**Сергей Корчёмкин** · 18.03.2015, 18:01

после того как удалю AdwCleaner делать перезагрузку перед запуском ClearLNK или можно без перезагрузки?

**mike 1** · 18.03.2015, 19:19

ClearLNK используйте уже после перезагрузки.

**Сергей Корчёмкин** · 19.03.2015, 09:11

вчера AdwCleaner сам после удаления перезагрузил компьютер и вместе с ним произошло автообновление виндос. я не дождался его включения и убежал на работу.

**mike 1** · 19.03.2015, 12:47

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Сергей Корчёмкин** · 19.03.2015, 14:31

FRST.txt Addition.txt

**mike 1** · 19.03.2015, 17:52

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-4291670534-2491083239-2630007031-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=c65045e35ad80059df8c825492b4a1d8&text={searchTerms}
HKU\S-1-5-21-4291670534-2491083239-2630007031-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=c65045e35ad80059df8c825492b4a1d8&text={searchTerms}
URLSearchHook: HKU\S-1-5-21-4291670534-2491083239-2630007031-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
SearchScopes: HKU\S-1-5-21-4291670534-2491083239-2630007031-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=c65045e35ad80059df8c825492b4a1d8&text={searchTerms}
SearchScopes: HKU\S-1-5-21-4291670534-2491083239-2630007031-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=c65045e35ad80059df8c825492b4a1d8&text=
2015-03-16 21:36 - 2015-03-16 21:36 - 00000008 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-03-16 21:36 - 2015-03-16 21:36 - 00000008 __RSH () C:\ProgramData\ntuser.pol

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Сергей Корчёмкин** · 19.03.2015, 18:50

Fixlog

**mike 1** · 20.03.2015, 00:42

Логи в порядке. С расшифровкой не поможем.

**Сергей Корчёмкин** · 20.03.2015, 21:41

Подскажите пожалуйста, что мне теперь делать? возможна ли расшифровка в будущем, или у меня теперь будет мертвым грузом лежать мои фото и видео?

**mike 1** · 21.03.2015, 01:53

Подскажите пожалуйста, что мне теперь делать?

Вариантов немного на самом деле. Варианты:

1. Восстановить всю информацию из резервных копий.

2. Если резервных копий нет, то этот вариант очевиден.

3. Забыть про файлы.

возможна ли расшифровка в будущем

Сейчас расшифровки нет и очень велика вероятность того, что так все и останется. Файлы шифруются по алгоритму RSA, а этот алгоритм достаточно стойкий.

**CyberHelper** · 21.03.2015, 02:03

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

все файлы в расширениях .xtbl. вирус шифратор (заявка № 179863)

Опции темы

все файлы в расширениях .xtbl. вирус шифратор

Итог лечения

Похожие темы

Вирус-шифратор XTBL

шифратор XTBL

xtbl шифратор

Ваши права в разделе