Зашифровались файлы с расширением .xtbl

Printable View

25.02.2015, 11:13
ulikk

Вложений: 2

Зашифровались файлы с расширением .xtbl

[h=2]Зашифрованы файлы с расширением .xtbl[/h][COLOR=#333333][INDENT]
Зашифровалось все: Doc, xls, видео, аудио, картинки....
Помогите, пожалуйста[/INDENT]
[/COLOR]
25.02.2015, 11:14
Info_bot

Уважаемый(ая) [B]ulikk[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
25.02.2015, 11:34
ulikk

Вложений: 2

Логи
25.02.2015, 15:34
mike 1

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\KIP\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\Users\KIP\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\iexplore.bat','32');
ExecuteSysClean;
RebootWindows(true);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d5c8b3d01282ab31ae599108feca146a&text=

[/CODE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserlnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы на рабочем столе будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
26.02.2015, 10:24
ulikk

Вложений: 3

Повторные логи
26.02.2015, 12:30
mike 1

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/B92LqRQ.png[/img]
26.02.2015, 14:10
ulikk

Вложений: 3

Вот, пожалуйста, отчеты
26.02.2015, 17:36
mike 1

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [gmsd_ru_116] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1423212550&from=obw&uid=HGSTXHTS721010A9E630_JG40006PGDYGRCGDYGRCX"
CHR Extension: (No Name) - C:\Users\KIP\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2015-02-10]
CHR Extension: (Стартовая — Яндекс) - C:\Users\KIP\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2015-02-26]
CHR Extension: (No Name) - C:\Users\KIP\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-02-10]
2015-02-24 13:56 - 2015-02-25 10:26 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-02-24 13:56 - 2015-02-25 10:26 - 00000000 __SHD () C:\ProgramData\Windows
2015-02-06 13:46 - 2015-02-06 13:46 - 00613057 _____ (CMI Limited) C:\Users\KIP\AppData\Local\nsiBA1E.tmp
2015-02-06 12:45 - 2015-02-06 12:45 - 00628496 _____ (CMI Limited) C:\Users\KIP\AppData\Local\nsl1E10.tmp
2015-02-06 11:49 - 2015-02-06 11:49 - 00613057 _____ (CMI Limited) C:\Users\KIP\AppData\Local\nsu77E5.tmp
2015-02-06 11:29 - 2015-02-06 11:29 - 00000008 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-02-06 11:29 - 2015-02-06 11:29 - 00000008 __RSH () C:\ProgramData\ntuser.pol
2015-02-06 11:29 - 2014-11-27 04:10 - 00815280 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
27.02.2015, 08:26
ulikk

Вложений: 1

Лог-файл FRST
27.02.2015, 12:43
mike 1

Логи в порядке. С расшифровкой не поможем.
04.03.2015, 10:58
ulikk

[QUOTE=mike 1;1236633]Логи в порядке. С расшифровкой не поможем.[/QUOTE]

Если прислать исходный файл и зашифрованный, можете помочь?
04.03.2015, 15:02
mike 1

Нет. Кстати, на учетной записи Администратора пароль стоит?
04.03.2015, 16:54
ulikk

[QUOTE=mike 1;1239563]Нет.[/QUOTE]
Плохо:(
[QUOTE=mike 1;1239563]Кстати, на учетной записи Администратора пароль стоит?[/QUOTE]
Да
04.03.2015, 20:48
mike 1

[QUOTE]Да[/QUOTE]
Сколько символов в пароле?
04.03.2015, 23:40
ulikk

[QUOTE=mike 1;1239760]Сколько символов в пароле?[/QUOTE]

пять цифр
05.03.2015, 12:22
mike 1

Такой пароль можно достаточно быстро подобрать. Возможно зашли удаленно и пошифровали файлы. Рекомендую использовать пароли не ниже 8 символов.
05.03.2015, 16:29
ulikk

[QUOTE=mike 1;1240108]Такой пароль можно достаточно быстро подобрать. Возможно зашли удаленно и пошифровали файлы. Рекомендую использовать пароли не ниже 8 символов.[/QUOTE]

Это понятно. Диск с "шифровками" отложен до лучших времен.

Подскажите, пожалуйста, что-то предпринимается/предвидится в расшифровке таких файлов ( *.xtbl ), я так понимаю с алгоритмом RSA? или безнадежно потеряно все? к негодяям есть смысл обращаться?
06.03.2015, 01:18
mike 1

[QUOTE]я так понимаю с алгоритмом RSA?[/QUOTE]
Да. У каждого пострадавшего будет свой индивидуальный ключ расшифровки. По этой причине возможно и не будет дешифратора со стороны антивирусных вендоров.
06.03.2015, 01:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]