Показано с 1 по 11 из 11.

Возможно зашифровано одним из вариантов Trojan.Encoder.858 (заявка № 179186)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    5
    Вес репутации
    11

    Возможно зашифровано одним из вариантов Trojan.Encoder.858

    Ваши файлы были зашифрованы.
    Чтобы расшифровать их, Вам необходимо отправить код:
    C9E463407775330DBC41|88|2|12
    на электронный адрес decode00002@gmail.com
    Далее вы получите все необходимые инструкции.
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
    все аудио, видео, изображения и многие другие типы файлов были зашифрованы в расширение xtbl.
    Книга-
    http://www.fayloobmennik.net/4678401 и изображение -http://www.fayloobmennik.net/4678406
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) LeoMak, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\RusLand\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
     QuarantineFile('C:\Users\RusLand\AppData\Local\PriceMeter\TEMP\pricemeter.exe','');
     QuarantineFile('C:\Users\RusLand\AppData\Local\PriceMeter\pricemeterw.exe','');
     QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','');
     QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
     QuarantineFile('C:\Users\RusLand\AppData\Roaming\Installer\rot8.exe','');
     QuarantineFile('C:\Users\RusLand\AppData\Roaming\DigitalSites\UpdateProc\bkup.dat','');
     QuarantineFile('C:\Users\RusLand\AppData\Local\Kometa\kometaup.exe','');
     SetServiceStart('BDSafeBrowser', 4);
     SetServiceStart('BDEnhanceBoost', 4);
     SetServiceStart('BDArKit', 4);
     SetServiceStart('bd0004', 4);
     SetServiceStart('bd0001', 4);
     DeleteService('BDSafeBrowser');
     DeleteService('BDEnhanceBoost');
     DeleteService('BDArKit');
     DeleteService('bd0004');
     DeleteService('bd0001');
     DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
     DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32');
     DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
     DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
     DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
     DeleteFile('C:\Users\RusLand\AppData\Local\Kometa\kometaup.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
     DeleteFile('C:\Users\RusLand\AppData\Roaming\DigitalSites\UpdateProc\bkup.dat','32');
     DeleteFile('C:\Users\RusLand\AppData\Roaming\Installer\rot8.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rot8.exe','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DigitalSites','command');
     DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
     DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
     DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','32');
     DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\pricemetertask','32');
     DeleteFile('C:\Windows\system32\Tasks\pricemeterwatcher','32');
     DeleteFile('C:\Users\RusLand\AppData\Local\PriceMeter\pricemeterw.exe','32');
     DeleteFile('C:\Users\RusLand\AppData\Local\PriceMeter\TEMP\pricemeter.exe','32');
     DeleteFile('C:\Users\RusLand\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
     DeleteFile('C:\Windows\system32\Tasks\Systweak Support Dock','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Обновите базы AVZ

    Сделайте новые логи по правилам


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    5
    Вес репутации
    11

    2

    Ваши файлы были зашифрованы.
    Чтобы расшифровать их, Вам необходимо отправить код:
    C9E463407775330DBC41|88|2|12
    на электронный адрес decode00002@gmail.com
    Далее вы получите все необходимые инструкции.
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
    все аудио, видео, изображения и многие другие типы файлов были зашифрованы в расширение xtbl.
    Книга- http://www.fayloobmennik.net/4678401 и изображение -http://www.fayloobmennik.net/4678406
    Троян удалил, реестр почистил. Так что прислать запрошенный карантин не смогу.
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      IFEO: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe"
      ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} =>  No File
      ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} =>  No File
      ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} =>  No File
      ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
      CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      CHR HKU\S-1-5-21-886229951-2572304046-3933266264-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396679650&from=cor&uid=TOSHIBAXMK3265GSXV_70LZT338TXX70LZT338T&q={searchTerms}
      HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396679650&from=cor&uid=TOSHIBAXMK3265GSXV_70LZT338TXX70LZT338T&q={searchTerms}
      HKU\S-1-5-21-886229951-2572304046-3933266264-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=be5eb18bdf3a31fbf938b3e944688780&text={searchTerms}
      HKU\S-1-5-21-886229951-2572304046-3933266264-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
      HKU\S-1-5-21-886229951-2572304046-3933266264-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
      HKU\S-1-5-21-886229951-2572304046-3933266264-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=be5eb18bdf3a31fbf938b3e944688780&text={searchTerms}
      SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396679650&from=cor&uid=TOSHIBAXMK3265GSXV_70LZT338TXX70LZT338T&q={searchTerms}
      SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396679650&from=cor&uid=TOSHIBAXMK3265GSXV_70LZT338TXX70LZT338T&q={searchTerms}
      SearchScopes: HKU\S-1-5-21-886229951-2572304046-3933266264-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://go-search.ru/search?q={searchTerms}
      SearchScopes: HKU\S-1-5-21-886229951-2572304046-3933266264-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=be5eb18bdf3a31fbf938b3e944688780&text={searchTerms}
      SearchScopes: HKU\S-1-5-21-886229951-2572304046-3933266264-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=be5eb18bdf3a31fbf938b3e944688780&text=
      SearchScopes: HKU\S-1-5-21-886229951-2572304046-3933266264-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110824&tt=5012_6&babsrc=SP_ss&mntrId=e61fdcc5000000000000000000000000
      Toolbar: HKU\S-1-5-21-886229951-2572304046-3933266264-1001 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
      Toolbar: HKU\S-1-5-21-886229951-2572304046-3933266264-1001 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} -  No File
      StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=scpp&ts=1396684020&from=cor&uid=TOSHIBAXMK3265GSXV_70LZT338TXX70LZT338T
      FF SearchPlugin: C:\Users\RusLand\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\webalta-search.xml [2013-10-03]
      FF Extension: SuperMegaBest.com - C:\Users\RusLand\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-03-19]
      CHR HKLM\...\Chrome\Extension: [boikejnhiggonokccamalbhmenopmiji] - C:\Program Files\Аудио и видео скачивание\avdownloader-sk.crx [Not Found]
      CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
      CHR HKLM\...\Chrome\Extension: [fekojjfcpcgkogbcchnihjpkcnfojgko] - C:\Program Files\Common Files\Metabar\Chrome\crx\metabar-SuggestWidget-2414660.crx [2012-11-29]
      CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
      CHR HKLM\...\Chrome\Extension: [hfifjeecmmbeabibmnfieecdfhfjeabo] - C:\Program Files\Common Files\Metabar\Chrome\crx\metabar-RSSReader-1547364.crx [2012-11-29]
      CHR HKLM\...\Chrome\Extension: [kkibpikekejophfkdmibfpbnioljllma] - C:\Program Files\Common Files\Metabar\Chrome\crx\metabar-Link-2253954.crx [2012-11-29]
      CHR HKLM\...\Chrome\Extension: [lagjjejdhbcgcngjahihaflmifjjjhio] - C:\Program Files\Common Files\Metabar\Chrome\crx\newTabExtension.crx [2012-11-29]
      CHR HKLM\...\Chrome\Extension: [mgdlinpbdgjbcppfjalpckplkdiojhcl] - C:\Program Files\Common Files\Metabar\Chrome\crx\metabar-RSSReader-2102732.crx [2012-11-29]
      CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\RusLand\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found]
      CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
      StartMenuInternet: Google Chrome.YK4AZGOTUXMELF6YSD6RRONVBE - C:\Users\RusLand\AppData\Local\Google\Chrome\Application\chrome.exe http://www.delta-homes.com/?type=sc&ts=1402580785&from=wpm0612&uid=TOSHIBAXMK3265GSXV_70LZT338TXX70LZT338T
      OPR Extension: (SocialLife for Google Chrome™) - C:\Users\RusLand\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhloflhklmhfpedakmangadcdofhnnoh [2015-02-25]
      OPR Extension: (SocialLife for Google Chrome™) - C:\Users\RusLand\AppData\Roaming\Opera Software\Opera Stable\Extensions\inoeonmfapjbbkmdafoankkfajkcphgd [2015-01-31]
      2015-03-08 05:01 - 2014-12-22 01:12 - 00000000 ____D () C:\Users\Все пользователи\Kbupdater Utility
      2015-03-08 05:01 - 2014-12-22 01:12 - 00000000 ____D () C:\ProgramData\Kbupdater Utility
      2015-03-05 16:56 - 2013-11-25 14:47 - 00000000 ____D () C:\Users\Админ\AppData\Roaming\cload
      2015-03-05 16:56 - 2013-11-25 12:34 - 00000000 ____D () C:\Users\Админ\AppData\Roaming\VKDJ
      2014-12-21 15:45 - 2014-12-21 15:45 - 0000147 ____H () C:\Users\RusLand\AppData\Local\Yandex.bat
      2014-12-21 15:45 - 2014-06-19 20:23 - 0103752 ____H () C:\Users\RusLand\AppData\Local\Yаndех.bаt.exe
      Task: {0DD095A5-7434-42D4-8D38-3893743C907E} - System32\Tasks\pricemetertask => C:\Users\RusLand\AppData\Local\PriceMeter\TEMP\pricemeter.exe <==== ATTENTION
      Task: {10312F46-2FB9-4E9C-B537-0865643E8C82} - System32\Tasks\appdistrib => C:\Program Files\Common Files\Distribute Application\appdistrib.exe
      Task: {24906AC7-6541-4AF1-9DA0-30A31DD3C5E5} - System32\Tasks\chrome5 => C:\Program Files\Microsoft Data\InstallAddons.exe
      Task: {5EC243D6-1C51-4C20-886C-7A68C0ABF102} - System32\Tasks\extsetup => C:\Users\RusLand\AppData\Local\Microsoft\Extensions\extsetup.exe
      Task: {86A0FD01-5687-474F-81ED-BB375E9E60B9} - System32\Tasks\Kbupdater Utility => C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe
      Task: {9D4773AB-8E7A-4A65-A7CC-C22CC7110C59} - System32\Tasks\pricemeterwatcher => C:\Users\RusLand\AppData\Local\PriceMeter\pricemeterw.exe [2014-04-13] (PriceMeter) <==== ATTENTION
      Task: {9D88C1DE-4122-4CBC-B2B1-0BD47C3C793F} - System32\Tasks\chrome5_logon => C:\Program Files\Microsoft Data\InstallAddons.exe
      Reboot:
    • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.


    Сделайте лог Check Browsers' LNK
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    5
    Вес репутации
    11

    3

    лог-файл Fixlog.txt
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,177
    Вес репутации
    1040
    Сделайте лог Check Browsers' LNK
    ???
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  9. #8
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    5
    Вес репутации
    11

    4

    Trojan
    Вложения Вложения

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    05.03.2015
    Сообщений
    5
    Вес репутации
    11

    5

    ClearLNK-19.03.2015_22-21
    Вложения Вложения

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    С расшифровкой не поможем.
    Как вариант, http://virusinfo.info/showthread.php?t=156188
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Зашифровано FKLOCK [Trojan-Ransom.Win32.Cryakl.az ]
    От fillip в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 04.11.2014, 23:10
  2. Зашифровано trojan.encoder.741
    От Alexbat76 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 12.08.2014, 16:36
  3. Ответов: 10
    Последнее сообщение: 25.12.2013, 08:48
  4. Ответов: 2
    Последнее сообщение: 23.12.2013, 22:56
  5. Все зашифровано [HEUR:Trojan.Win32.Generic ]
    От avstepanov в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 30.06.2013, 16:22

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01475 seconds with 17 queries