Зашифрованы файлы неизвестным шифравальщиком в расширение .xtbl [Trojan-Downloader.Win32.Agent.hfoz, not-a-virus:RiskTool.Win32.BitCoinMiner.wzo ]

[nuPATEXHuK]

Сегодня примерно в 8-9 утра компьютер подвергся атаке вируса-шифровальщика. При этом ничего не запускалось мной, кроме торрента с сериалом. Поставив торрент, я отключил монитор. А когда включил - большая часть файлов изменила расширение на .xtbl и названия на длинные наборы символов типа "+npC0KFbD+aSWTEKkQaAEvlAV--QtOUQONiHgyhZn9M=". На рабочем столе появилось изображение красными буквами на чёрном фоне "Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков." Короче, всё как обычно, просят деньги. Адреса: [email protected] или [email protected]. Помогите, пожалуйста, хотя бы фотки вернуть. Буду очень благодарен!

[Info_bot]

Уважаемый(ая) nuPATEXHuK, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 QuarantineFile('C:\Users\Максим\appdata\roaming\x11\engine.exe','');
 QuarantineFile('C:\Program Files (x86)\WebProtectorPlus\WebProtectorPlus.exe','');
 QuarantineFile('C:\Windows\Cursors\services.exe','');
 QuarantineFile('C:\Users\Максим\AppData\Roaming\6A7E46BC\bin.exe','');
 DeleteFile('C:\Users\Максим\AppData\Roaming\6A7E46BC\bin.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6A7E46BC');
 DeleteFile('C:\Windows\Cursors\services.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Service');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
 DeleteFile('C:\Users\Максим\appdata\roaming\x11\engine.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[nuPATEXHuK]

Прошу.

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[nuPATEXHuK]

Удалил всё. Вот отчёт.

- - - - -Добавлено - - - - -

Впрочем, я так посмотрел на результаты и шанс дешифровки... думаю, уже смысла нет пытаться. Пойду сносить винду под чистую, поставлю ещё раз и в этот раз защищусь со всех сторон хорошим антивирусным экраном. Ещё попробую поставить защиту на уровне прав пользователей, чтобы всякие такие программы в тихом режиме не могли от имени администратора ничего делать. И буду молиться богам Олимпа, чтобы не пришлось вновь писать в эту ветку форума. Такие дела...

Но, как бы то ни было, большое спасибо за ответы и потраченное на меня время. ^_^

[mike 1]

Файлы и после сноса Windows останутся зашифрованными. Пароли все смените.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\webprotectorplus\webprotectorplus.exe - Trojan-Downloader.Win32.Agent.hfoz ( AVAST4: Win32:Dropper-gen [Drp] )
  2. c:\users\максим\appdata\roaming\x11\engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo ( DrWEB: Tool.BtcMine.479, BitDefender: Trojan.Generic.12296710 )
  3. c:\users\максим\appdata\roaming\6a7e46bc\bin.exe - Trojan-Banker.Win32.Tinba.mtz