Помогите расшифровать. У файлов стало расширение .xtbl. Куча файлов readme , обои рабочего стола тоже выдаю инфотмацию о зашифровке...
Помогите расшифровать. У файлов стало расширение .xtbl. Куча файлов readme , обои рабочего стола тоже выдаю инфотмацию о зашифровке...
Уважаемый(ая) peoneer, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
картинка рабочего стола http://10kilogramm.ru/prochie-materi...rus-troyan.jpg
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}'); QuarantineFile('C:\opera.bat',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\Бел\AppData\Local\gmsd_ru_244\upgmsd_ru_244.exe',''); QuarantineFile('C:\Users\Бел\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Program Files (x86)\gmsd_ru_264\gmsd_ru_264.exe',''); QuarantineFile('C:\Program Files (x86)\gmsd_ru_258\gmsd_ru_258.exe',''); QuarantineFile('C:\Program Files (x86)\gmsd_ru_246\gmsd_ru_246.exe',''); QuarantineFile('C:\Program Files (x86)\gmsd_ru_244\gmsd_ru_244.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe',''); DeleteService('ykcwhhrf'); StopService('{e2590817-40ca-4d03-8e1f-67fd8517bae9}w64'); StopService('{848705a5-8a27-403e-9b59-732d0608bcbc}w64'); StopService('{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}w64'); StopService('{3f1219df-4a4d-40a3-9537-f2a95f4016b3}w64'); StopService('{36ed28a4-ac0a-4653-91ff-10beb4246550}w64'); StopService('{11944e07-3e46-4956-b8c7-7e52c7a44c1d}w64'); StopService('{11944e07-3e46-4956-b8c7-7e52c7a44c1d}Gw64'); StopService('innfd_1_10_0_14'); DeleteService('{e2590817-40ca-4d03-8e1f-67fd8517bae9}w64'); DeleteService('{848705a5-8a27-403e-9b59-732d0608bcbc}w64'); DeleteService('{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}w64'); DeleteService('{3f1219df-4a4d-40a3-9537-f2a95f4016b3}w64'); DeleteService('{36ed28a4-ac0a-4653-91ff-10beb4246550}w64'); DeleteService('{11944e07-3e46-4956-b8c7-7e52c7a44c1d}w64'); DeleteService('{11944e07-3e46-4956-b8c7-7e52c7a44c1d}Gw64'); DeleteService('innfd_1_10_0_14'); StopService('Util Edu App'); StopService('Update Edu App'); StopService('soxocusy'); StopService('insvc_1.10.0.14'); StopService('IHProtect Service'); StopService('buwomyre'); StopService('bucuwece'); DeleteService('globalUpdatem'); DeleteService('globalUpdate'); DeleteService('Util Edu App'); DeleteService('Update Edu App'); DeleteService('soxocusy'); DeleteService('insvc_1.10.0.14'); DeleteService('IHProtect Service'); DeleteService('buwomyre'); DeleteService('bucuwece'); QuarantineFile('C:\Windows\system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}w64.sys',''); QuarantineFile('C:\Windows\system32\drivers\{e2590817-40ca-4d03-8e1f-67fd8517bae9}w64.sys',''); QuarantineFile('C:\Windows\system32\drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}w64.sys',''); QuarantineFile('C:\Windows\system32\drivers\{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}w64.sys',''); QuarantineFile('C:\Windows\system32\drivers\{3f1219df-4a4d-40a3-9537-f2a95f4016b3}w64.sys',''); QuarantineFile('C:\Windows\system32\drivers\{36ed28a4-ac0a-4653-91ff-10beb4246550}w64.sys',''); QuarantineFile('C:\Windows\system32\drivers\{11944e07-3e46-4956-b8c7-7e52c7a44c1d}w64.sys',''); QuarantineFile('C:\Windows\system32\drivers\{11944e07-3e46-4956-b8c7-7e52c7a44c1d}Gw64.sys',''); TerminateProcessByName('c:\program files (x86)\edu app\bin\utileduapp.exe'); QuarantineFile('c:\program files (x86)\edu app\bin\utileduapp.exe',''); TerminateProcessByName('c:\users\Бел\appdata\local\gmsd_ru_244\upgmsd_ru_244.exe'); QuarantineFile('c:\users\Бел\appdata\local\gmsd_ru_244\upgmsd_ru_244.exe',''); TerminateProcessByName('c:\program files (x86)\edu app\updateeduapp.exe'); QuarantineFile('c:\program files (x86)\edu app\updateeduapp.exe',''); TerminateProcessByName('c:\users\Бел\appdata\roaming\ssleas.exe'); QuarantineFile('c:\users\Бел\appdata\roaming\ssleas.exe',''); TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe'); QuarantineFile('c:\program files (x86)\xtab\protectservice.exe',''); TerminateProcessByName('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\nskb601.tmp'); QuarantineFile('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\nskb601.tmp',''); TerminateProcessByName('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\jnsxb856.tmp'); QuarantineFile('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\jnsxb856.tmp',''); TerminateProcessByName('c:\program files (x86)\infonaut_1.10.0.14\service\insvc.exe'); QuarantineFile('c:\program files (x86)\infonaut_1.10.0.14\service\insvc.exe',''); TerminateProcessByName('c:\program files (x86)\xtab\hpnotify.exe'); QuarantineFile('c:\program files (x86)\xtab\hpnotify.exe',''); TerminateProcessByName('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\hnsxdf58.tmp'); QuarantineFile('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\hnsxdf58.tmp',''); TerminateProcessByName('c:\program files (x86)\gmsd_ru_264\gmsd_ru_264.exe'); QuarantineFile('c:\program files (x86)\gmsd_ru_264\gmsd_ru_264.exe',''); TerminateProcessByName('c:\program files (x86)\gmsd_ru_258\gmsd_ru_258.exe'); QuarantineFile('c:\program files (x86)\gmsd_ru_258\gmsd_ru_258.exe',''); TerminateProcessByName('c:\users\Бел\appdata\roaming\x11\a\engine.exe'); QuarantineFile('c:\users\Бел\appdata\roaming\x11\a\engine.exe',''); TerminateProcessByName('c:\program files (x86)\plushd_video 3.4v18.05\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-6.exe'); QuarantineFile('c:\program files (x86)\plushd_video 3.4v18.05\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-6.exe',''); TerminateProcessByName('c:\program files (x86)\xtab\cmdshell.exe'); QuarantineFile('c:\program files (x86)\xtab\cmdshell.exe',''); TerminateProcessByName('c:\users\Бел\appdata\roaming\cppredistx86.exe'); QuarantineFile('c:\users\Бел\appdata\roaming\cppredistx86.exe',''); DeleteFile('c:\users\Бел\appdata\roaming\cppredistx86.exe','32'); DeleteFile('c:\program files (x86)\xtab\cmdshell.exe','32'); DeleteFile('c:\program files (x86)\plushd_video 3.4v18.05\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-6.exe','32'); DeleteFile('c:\users\Бел\appdata\roaming\x11\a\engine.exe','32'); DeleteFile('c:\program files (x86)\gmsd_ru_258\gmsd_ru_258.exe','32'); DeleteFile('c:\program files (x86)\gmsd_ru_264\gmsd_ru_264.exe','32'); DeleteFile('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\hnsxdf58.tmp','32'); DeleteFile('c:\program files (x86)\xtab\hpnotify.exe','32'); DeleteFile('c:\program files (x86)\infonaut_1.10.0.14\service\insvc.exe','32'); DeleteFile('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\jnsxb856.tmp','32'); DeleteFile('c:\users\Бел\appdata\roaming\32444335-1431585048-4631-4447-80c16e49d10b\nskb601.tmp','32'); DeleteFile('c:\program files (x86)\xtab\protectservice.exe','32'); DeleteFile('c:\users\Бел\appdata\roaming\ssleas.exe','32'); DeleteFile('c:\program files (x86)\edu app\updateeduapp.exe','32'); DeleteFile('c:\users\Бел\appdata\local\gmsd_ru_244\upgmsd_ru_244.exe','32'); DeleteFile('c:\program files (x86)\edu app\bin\utileduapp.exe','32'); DeleteFile('C:\Windows\system32\drivers\{11944e07-3e46-4956-b8c7-7e52c7a44c1d}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{11944e07-3e46-4956-b8c7-7e52c7a44c1d}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{36ed28a4-ac0a-4653-91ff-10beb4246550}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{3f1219df-4a4d-40a3-9537-f2a95f4016b3}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{e2590817-40ca-4d03-8e1f-67fd8517bae9}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}w64.sys','32'); DeleteFile('C:\Users\Бел\AppData\Roaming\32444335-1431585048-4631-4447-80C16E49D10B\nskB601.tmp','32'); DeleteFile('C:\Users\Бел\AppData\Roaming\32444335-1431585048-4631-4447-80C16E49D10B\jnsxB856.tmp','32'); DeleteFile('C:\Program Files (x86)\XTab\ProtectService.exe','32'); DeleteFile('C:\Program Files (x86)\Infonaut_1.10.0.14\Service\insvc.exe','32'); DeleteFile('C:\Users\Бел\AppData\Roaming\32444335-1431585048-4631-4447-80C16E49D10B\hnsxDF58.tmp','32'); DeleteFile('C:\Program Files (x86)\Edu App\updateEduApp.exe','32'); DeleteFile('C:\Program Files (x86)\Edu App\bin\utilEduApp.exe','32'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32'); DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_244','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_246','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_258'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_264'); DeleteFile('C:\Program Files (x86)\gmsd_ru_244\gmsd_ru_244.exe','32'); DeleteFile('C:\Program Files (x86)\gmsd_ru_246\gmsd_ru_246.exe','32'); DeleteFile('C:\Program Files (x86)\gmsd_ru_258\gmsd_ru_258.exe','32'); DeleteFile('C:\Program Files (x86)\gmsd_ru_264\gmsd_ru_264.exe','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Бел\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\Бел\AppData\Local\gmsd_ru_244\upgmsd_ru_244.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_244.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\opera.bat','32'); DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64'); DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-6.job','64'); DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-7.job','64'); DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-10_user.job','64'); DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-11.job','64'); DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-3.job','64'); DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-5.job','64'); DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-5_user.job','64'); DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-6.job','64'); DeleteFile('C:\Windows\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-7.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64'); DeleteFile('C:\Windows\Tasks\x9leqCgTx7wc3dFqjVa7r5EYoJ.job','64'); DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-11','64'); DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-3','64'); DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-5','64'); DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-6','64'); DeleteFile('C:\Windows\system32\Tasks\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-7','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\{FA22FE62-072A-46F2-9D54-17D769D5AC2A}','64'); ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите Check Browsers LNK.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
- Прикрепите этот отчет в вашей теме.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
готово
- - - - -Добавлено - - - - -
Скажите если можно сразу если ли смыслс ожидать ? расшифровать надо тока пару папок с фотками, систему переустановлю... мысл не в удаленни вируса а в расшифровке
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\iexplore.bat - Trojan-Clicker.BAT.Small.cn
- c:\program files (x86)\gmsd_ru_244\gmsd_ru_244.exe - not-a-virus:AdWare.Win32.Eorezo.fkz ( DrWEB: Adware.Downware.10601, BitDefender: Adware.Eorezo.BZ )
- c:\program files (x86)\gmsd_ru_246\gmsd_ru_246.exe - not-a-virus:AdWare.Win32.Eorezo.fkz ( DrWEB: Adware.Downware.10601, BitDefender: Adware.Eorezo.BZ )
- c:\program files (x86)\gmsd_ru_258\gmsd_ru_258.exe - not-a-virus:AdWare.Win32.Eorezo.mjk ( BitDefender: Adware.Eorezo.BZ )
- c:\program files (x86)\gmsd_ru_264\gmsd_ru_264.exe - not-a-virus:AdWare.Win32.Eorezo.mjk ( BitDefender: Adware.Eorezo.BZ )
- c:\program files (x86)\infonaut_1.10.0.14\service\insvc.exe - not-a-virus:AdWare.Win32.Vitruvian.k
- c:\program files (x86)\plushd_video 3.4v18.05\ebc9c015-c7e6-405b-acfa-a30d5f0fccf9-1-6.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.Dz1@kaycxNci )
- c:\program files (x86)\xtab\cmdshell.exe - not-a-virus:AdWare.Win32.SubTab.e
- c:\program files (x86)\xtab\hpnotify.exe - not-a-virus:AdWare.Win32.SearchProtect.so
- c:\program files (x86)\xtab\protectservice.exe - not-a-virus:AdWare.Win32.SubTab.e
- c:\programdata\windows\csrss.exe - Backdoor.Win32.Androm.haeb ( AVAST4: Win32:Malware-gen )
- c:\users\бел\appdata\local\gmsd_ru_244\upgmsd_ru_2 44.exe - not-a-virus:AdWare.Win32.Eorezo.mae ( DrWEB: Adware.Downware.10601, BitDefender: Adware.Eorezo.BZ )
- c:\users\бел\appdata\roaming\cppredistx86.exe - Trojan.Win32.Bitminer.it ( DrWEB: Trojan.KillFiles.21663, BitDefender: Trojan.GenericKD.1975949 )
- c:\users\бел\appdata\roaming\ssleas.exe - Trojan.Win32.Kesels.a
- c:\users\бел\appdata\roaming\x11\a\engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvp ( DrWEB: Tool.BtcMine.461 )
Уважаемый(ая) peoneer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.