0 / 0 / 0
Регистрация: 04.08.2015
Сообщений: 8
|
|
1 | |
Зашифровка файлов в формат XTBL04.08.2015, 15:06. Показов 1206. Ответов 15
Метки нет (Все метки)
Выключил компьютер, всё было нормально, потом через час включил и на черном экране Красными Буквами:
Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: CE17333D40BCBDBB64B0|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Я тут уже много тем прочитал по подобной проблемме, ну в итоге я так и не понял, у вас получилось всем помочь или нет ?
0
|
04.08.2015, 15:06 | |
Ответы с готовыми решениями:
15
Файлы имеют формат XTBL Cryptolocker@aol.com, зашифровка файлов Вирус изменил формат файлов Расшифровка .xtbl |
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
06.08.2015, 01:39 | 2 |
Выполните скрипт в AVZ
Код
begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\iexplore.bat','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Search Protection','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Browser Extensions','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Praetorian','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Выполните скрипт в AVZ Код
begin CreateQurantineArchive('c:\quarantine.zip'); end. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
0
|
0 / 0 / 0
Регистрация: 04.08.2015
Сообщений: 8
|
|
06.08.2015, 10:48 [ТС] | 3 |
Quarantine Отправил по ссылке.
ClearLNK прикрепил
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
06.08.2015, 11:16 | 4 |
0
|
0 / 0 / 0
Регистрация: 04.08.2015
Сообщений: 8
|
|
06.08.2015, 11:35 [ТС] | 5 |
Я извиняюсь за то что я туплю, " Выполните Правила " это не в смысле же создать новую тему ? Просто забыл прикрепить LOG , вот пожалуйста... quarantine отправил по ссылке .
Жду дальнейшего ответа. Спасибо CleanLNK не влаживается второй раз
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
06.08.2015, 12:01 | 6 |
Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
0
|
0 / 0 / 0
Регистрация: 04.08.2015
Сообщений: 8
|
|
06.08.2015, 18:45 [ТС] | 7 |
СДЕЛАЛ
Ой я извиняюсь, но Файлы привышают размер 20 кб. что делать?
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
06.08.2015, 19:05 | 8 |
Заархивировать их
0
|
0 / 0 / 0
Регистрация: 04.08.2015
Сообщений: 8
|
|
06.08.2015, 19:13 [ТС] | 9 |
СДЕЛАЛ
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
06.08.2015, 21:15 | 10 |
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код
CreateRestorePoint: Task: {12C70574-1A7D-498B-80CA-A16434AA6A52} - \SaveSense No Task File <==== ATTENTION Task: {1D484BCF-A815-4173-B23C-47F1978A880B} - \GoogleUpdateTaskUserS-1-5-21-1970835742GUI No Task File <==== ATTENTION Task: {7FD3F78A-8EEB-48D3-BD7B-3B4CBB86C106} - System32\Tasks\nethost task => C:\Users\Ilya\AppData\Local\SystemDir\nethost.exe [2015-08-04] () <==== ATTENTION AlternateDataStreams: C:\ProgramData\Temp:472FBBAF AlternateDataStreams: C:\ProgramData\Temp:B242F995 AlternateDataStreams: C:\Users\Ilya\Local Settings:wa AlternateDataStreams: C:\Users\Ilya\AppData\Local:wa AlternateDataStreams: C:\Users\Ilya\AppData\Local\Application Data:wa AlternateDataStreams: C:\Users\Все пользователи\Temp:472FBBAF AlternateDataStreams: C:\Users\Все пользователи\Temp:B242F995 AppInit_DLLs-x32: ,cesarisinit.dll => "cesarisinit.dll" File not found GroupPolicy: Group Policy on Chrome detected <======= ATTENTION GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\S-1-5-21-3308914909-2526062268-456487890-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://roytekho.ru/?utm_source=startpage03&utm_content=7aa2f92c8336fbc04997418e9eba216c&utm_term=5E1CBA52276EB9D146D5610E1F4B5588 HKU\S-1-5-21-3308914909-2526062268-456487890-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net HKU\S-1-5-21-3308914909-2526062268-456487890-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e363bad6f351004eb0c5daa42801d6a&text={searchTerms} HKU\S-1-5-21-3308914909-2526062268-456487890-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e363bad6f351004eb0c5daa42801d6a&text={searchTerms} HKU\S-1-5-21-3308914909-2526062268-456487890-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search SearchScopes: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e363bad6f351004eb0c5daa42801d6a&text={searchTerms} SearchScopes: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e363bad6f351004eb0c5daa42801d6a&text={searchTerms} SearchScopes: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e363bad6f351004eb0c5daa42801d6a&text= SearchScopes: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> {3DDF6416-2DAC-47FC-9E67-5719100EC689} URL = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=ru_US&apn_ptnrs=^PV&apn_dtid=^YYYYYY^YY^UA&apn_uid=b9478f78-576f-4c89-93f7-6a0f549f0144&apn_sauid=2D61D68B-1411-41E1-86A3-4E1DC212FB76 SearchScopes: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = http://webalta.ru/search?q={searchTerms}&from=IE SearchScopes: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms} BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e363bad6f351004eb0c5daa42801d6a&text= <==== ATTENTION R2 comyninu; C:\Program Files (x86)\6010E54D-1438799627-E111-949C-8A3B20D85A47\hnscD875.tmp [161792 2015-08-05] () [File not signed] R2 gopibeko; C:\Users\Ilya\AppData\Local\6010E54D-1438810474-E111-949C-8A3B20D85A47\snsx49ED.tmp [120832 2015-08-05] () [File not signed] R2 hyverumu; C:\Program Files (x86)\6010E54D-1438799627-E111-949C-8A3B20D85A47\jnscBA49.tmp [209920 2015-08-05] () [File not signed] R2 vugoqyro; C:\Program Files (x86)\6010E54D-1438799627-E111-949C-8A3B20D85A47\knskCAED.tmp [604672 2015-08-06] () [File not signed] S1 {7f2b4ad0-671a-477b-bcd4-79d041f50d27}w64; system32\drivers\{7f2b4ad0-671a-477b-bcd4-79d041f50d27}w64.sys [X] 2015-08-05 21:44 - 2015-08-05 21:44 - 00333506 _____ (AnySend.com) C:\Users\Ilya\AppData\Local\nsqD39B.tmp 2015-08-05 21:44 - 2015-08-05 21:44 - 00000000 ____D C:\Program Files (x86)\AnySend 2015-08-05 21:34 - 2015-08-06 11:32 - 00000000 ____D C:\Users\Ilya\AppData\Local\6010E54D-1438810474-E111-949C-8A3B20D85A47 2015-08-05 21:34 - 2015-08-04 11:21 - 00000826 _____ C:\Windows\system32\Drivers\etc\hp.bak 2015-08-05 21:33 - 2015-08-06 18:40 - 00000000 ____D C:\Program Files (x86)\6010E54D-1438799627-E111-949C-8A3B20D85A47 2015-08-05 21:33 - 2015-08-05 21:33 - 00000000 ____D C:\Users\Ilya\AppData\Roaming\ASPackage 2015-08-04 17:52 - 2015-08-04 17:52 - 00000000 ____D C:\Users\Ilya\AppData\Local\Поиcк в Интeрнете 2015-08-04 17:50 - 2015-08-05 10:14 - 00000000 ____D C:\Users\Ilya\AppData\Local\SystemDir 2015-08-04 17:50 - 2015-08-04 17:50 - 00003494 _____ C:\Windows\System32\Tasks\nethost task 2015-04-11 11:19 - 2015-04-11 11:20 - 0442896 _____ () C:\Users\Ilya\AppData\Roaming\data13.dat 2015-08-05 21:44 - 2015-08-05 21:44 - 0333506 _____ (AnySend.com) C:\Users\Ilya\AppData\Local\nsqD39B.tmp C:\Users\Ilya\AppData\Local\Temp\3FFF22BFE3E6ADC.exe C:\Users\Ilya\AppData\Local\Temp\3g5nb6ad8Kb7.exe C:\Users\Ilya\AppData\Local\Temp\AswmVJg5yTn4.exe C:\Users\Ilya\AppData\Local\Temp\cyVfeJpqTozW.exe C:\Users\Ilya\AppData\Local\Temp\E7655C155926246E.exe C:\Users\Ilya\AppData\Local\Temp\extension.exe C:\Users\Ilya\AppData\Local\Temp\GwihUi7GS74O.exe C:\Users\Ilya\AppData\Local\Temp\L4qMd7POKJYV.exe C:\Users\Ilya\AppData\Local\Temp\RBgkukWRWK5B.exe C:\Users\Ilya\AppData\Local\Temp\temp1913034400.exe C:\Users\Ilya\AppData\Local\Temp\temp268455226.exe C:\Users\Ilya\AppData\Local\Temp\tmp6D0B.exe C:\Users\Ilya\AppData\Local\Temp\V2IJsohVcTXo.exe C:\Users\Ilya\AppData\Local\Temp\WMKsGK9R3sy9.exe C:\Users\Ilya\AppData\Local\Temp\zgQ2jAfcUUmh.exe Reboot:
0
|
0 / 0 / 0
Регистрация: 04.08.2015
Сообщений: 8
|
|
06.08.2015, 21:30 [ТС] | 11 |
Я конечно извиняюсь, но что такое " НАЖМИТЕ кнопку fix " ??? Я создал документ, скинул скрипт, переименовал как сказали, сохранил, всё находится в одной папке. Нажал на FRST, открылся документ и ....... ????
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
06.08.2015, 21:43 | 12 |
0
|
0 / 0 / 0
Регистрация: 04.08.2015
Сообщений: 8
|
|
06.08.2015, 23:49 [ТС] | 13 |
Извиняюсь, всё сделал) ps. галочки я не ставил, в тех местах где вы указывали ранее.... если нужно было нажать, переделаю)
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
07.08.2015, 11:34 | 14 |
С расшифровкой не поможем
0
|
0 / 0 / 0
Регистрация: 04.08.2015
Сообщений: 8
|
|
07.08.2015, 12:00 [ТС] | 15 |
А Как можно сбросить Систему до Заводских Настроек если у меня даже Recovery в XTBL зашифровано ???
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
07.08.2015, 12:27 | 16 |
А смысл этого какой? Новая информация шифроваться не будет
0
|
07.08.2015, 12:27 | |
07.08.2015, 12:27 | |
Помогаю со студенческими работами здесь
16
Зашифрованы файлы. xtbl Зашифрованы файлы xtbl Зашифрованы файлы. xtbl Зашифрованные файлы .xtbl Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |