Зашифровка файлов в формат XTBL

@PavliukIllia · Регистрация: 04.08.2015

Author24 — интернет-сервис помощи студентам

Выключил компьютер, всё было нормально, потом через час включил и на черном экране Красными Буквами:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
CE17333D40BCBDBB64B0|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Я тут уже много тем прочитал по подобной проблемме, ну в итоге я так и не понял, у вас получилось всем помочь или нет ?

@thyrex · 06.08.2015, 01:39

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Search Protection','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Browser Extensions','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Praetorian','command');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

http://dragokas.com/tools/move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@PavliukIllia · 06.08.2015, 10:48 **[ТС]**

Quarantine Отправил по ссылке.

ClearLNK прикрепил

@thyrex · 06.08.2015, 11:16

Забыли

Сообщение от thyrex

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@PavliukIllia · 06.08.2015, 11:35 **[ТС]**

Я извиняюсь за то что я туплю, " Выполните Правила " это не в смысле же создать новую тему ? Просто забыл прикрепить LOG , вот пожалуйста... quarantine отправил по ссылке .
Жду дальнейшего ответа. Спасибо

CleanLNK не влаживается второй раз

@thyrex · 06.08.2015, 12:01

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

@PavliukIllia · 06.08.2015, 18:45 **[ТС]**

СДЕЛАЛ

Ой я извиняюсь, но Файлы привышают размер 20 кб. что делать?

@thyrex · 06.08.2015, 19:05

Заархивировать их

@PavliukIllia · 06.08.2015, 19:13 **[ТС]**

СДЕЛАЛ

@thyrex · 06.08.2015, 21:15

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код

CreateRestorePoint:
Task: {12C70574-1A7D-498B-80CA-A16434AA6A52} - \SaveSense No Task File <==== ATTENTION
Task: {1D484BCF-A815-4173-B23C-47F1978A880B} - \GoogleUpdateTaskUserS-1-5-21-1970835742GUI No Task File <==== ATTENTION
Task: {7FD3F78A-8EEB-48D3-BD7B-3B4CBB86C106} - System32\Tasks\nethost task => C:\Users\Ilya\AppData\Local\SystemDir\nethost.exe [2015-08-04] () <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:472FBBAF
AlternateDataStreams: C:\ProgramData\Temp:B242F995
AlternateDataStreams: C:\Users\Ilya\Local Settings:wa
AlternateDataStreams: C:\Users\Ilya\AppData\Local:wa
AlternateDataStreams: C:\Users\Ilya\AppData\Local\Application Data:wa
AlternateDataStreams: C:\Users\Все пользователи\Temp:472FBBAF
AlternateDataStreams: C:\Users\Все пользователи\Temp:B242F995
AppInit_DLLs-x32: ,cesarisinit.dll => "cesarisinit.dll" File not found
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3308914909-2526062268-456487890-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://roytekho.ru/?utm_source=startpage03&utm_content=7aa2f92c8336fbc04997418e9eba216c&utm_term=5E1CBA52276EB9D146D5610E1F4B5588
HKU\S-1-5-21-3308914909-2526062268-456487890-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net
HKU\S-1-5-21-3308914909-2526062268-456487890-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e363bad6f351004eb0c5daa42801d6a&text={searchTerms}
HKU\S-1-5-21-3308914909-2526062268-456487890-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e363bad6f351004eb0c5daa42801d6a&text={searchTerms}
HKU\S-1-5-21-3308914909-2526062268-456487890-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
SearchScopes: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e363bad6f351004eb0c5daa42801d6a&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e363bad6f351004eb0c5daa42801d6a&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e363bad6f351004eb0c5daa42801d6a&text=
SearchScopes: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> {3DDF6416-2DAC-47FC-9E67-5719100EC689} URL = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=ru_US&apn_ptnrs=^PV&apn_dtid=^YYYYYY^YY^UA&apn_uid=b9478f78-576f-4c89-93f7-6a0f549f0144&apn_sauid=2D61D68B-1411-41E1-86A3-4E1DC212FB76
SearchScopes: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = http://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-3308914909-2526062268-456487890-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e363bad6f351004eb0c5daa42801d6a&text= <==== ATTENTION
R2 comyninu; C:\Program Files (x86)\6010E54D-1438799627-E111-949C-8A3B20D85A47\hnscD875.tmp [161792 2015-08-05] () [File not signed]
R2 gopibeko; C:\Users\Ilya\AppData\Local\6010E54D-1438810474-E111-949C-8A3B20D85A47\snsx49ED.tmp [120832 2015-08-05] () [File not signed]
R2 hyverumu; C:\Program Files (x86)\6010E54D-1438799627-E111-949C-8A3B20D85A47\jnscBA49.tmp [209920 2015-08-05] () [File not signed]
R2 vugoqyro; C:\Program Files (x86)\6010E54D-1438799627-E111-949C-8A3B20D85A47\knskCAED.tmp [604672 2015-08-06] () [File not signed]
S1 {7f2b4ad0-671a-477b-bcd4-79d041f50d27}w64; system32\drivers\{7f2b4ad0-671a-477b-bcd4-79d041f50d27}w64.sys [X]
2015-08-05 21:44 - 2015-08-05 21:44 - 00333506 _____ (AnySend.com) C:\Users\Ilya\AppData\Local\nsqD39B.tmp
2015-08-05 21:44 - 2015-08-05 21:44 - 00000000 ____D C:\Program Files (x86)\AnySend
2015-08-05 21:34 - 2015-08-06 11:32 - 00000000 ____D C:\Users\Ilya\AppData\Local\6010E54D-1438810474-E111-949C-8A3B20D85A47
2015-08-05 21:34 - 2015-08-04 11:21 - 00000826 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-08-05 21:33 - 2015-08-06 18:40 - 00000000 ____D C:\Program Files (x86)\6010E54D-1438799627-E111-949C-8A3B20D85A47
2015-08-05 21:33 - 2015-08-05 21:33 - 00000000 ____D C:\Users\Ilya\AppData\Roaming\ASPackage
2015-08-04 17:52 - 2015-08-04 17:52 - 00000000 ____D C:\Users\Ilya\AppData\Local\Поиcк в Интeрнете
2015-08-04 17:50 - 2015-08-05 10:14 - 00000000 ____D C:\Users\Ilya\AppData\Local\SystemDir
2015-08-04 17:50 - 2015-08-04 17:50 - 00003494 _____ C:\Windows\System32\Tasks\nethost task
2015-04-11 11:19 - 2015-04-11 11:20 - 0442896 _____ () C:\Users\Ilya\AppData\Roaming\data13.dat
2015-08-05 21:44 - 2015-08-05 21:44 - 0333506 _____ (AnySend.com) C:\Users\Ilya\AppData\Local\nsqD39B.tmp
C:\Users\Ilya\AppData\Local\Temp\3FFF22BFE3E6ADC.exe
C:\Users\Ilya\AppData\Local\Temp\3g5nb6ad8Kb7.exe
C:\Users\Ilya\AppData\Local\Temp\AswmVJg5yTn4.exe
C:\Users\Ilya\AppData\Local\Temp\cyVfeJpqTozW.exe
C:\Users\Ilya\AppData\Local\Temp\E7655C155926246E.exe
C:\Users\Ilya\AppData\Local\Temp\extension.exe
C:\Users\Ilya\AppData\Local\Temp\GwihUi7GS74O.exe
C:\Users\Ilya\AppData\Local\Temp\L4qMd7POKJYV.exe
C:\Users\Ilya\AppData\Local\Temp\RBgkukWRWK5B.exe
C:\Users\Ilya\AppData\Local\Temp\temp1913034400.exe
C:\Users\Ilya\AppData\Local\Temp\temp268455226.exe
C:\Users\Ilya\AppData\Local\Temp\tmp6D0B.exe
C:\Users\Ilya\AppData\Local\Temp\V2IJsohVcTXo.exe
C:\Users\Ilya\AppData\Local\Temp\WMKsGK9R3sy9.exe
C:\Users\Ilya\AppData\Local\Temp\zgQ2jAfcUUmh.exe
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

@PavliukIllia · 06.08.2015, 21:30 **[ТС]**

Я конечно извиняюсь, но что такое " НАЖМИТЕ кнопку fix " ??? Я создал документ, скинул скрипт, переименовал как сказали, сохранил, всё находится в одной папке. Нажал на FRST, открылся документ и ....... ????

@thyrex · 06.08.2015, 21:43

А как же?

Сообщение от thyrex

Запустите FRST

@PavliukIllia · 06.08.2015, 23:49 **[ТС]**

Извиняюсь, всё сделал) ps. галочки я не ставил, в тех местах где вы указывали ранее.... если нужно было нажать, переделаю)

@thyrex · 07.08.2015, 11:34

С расшифровкой не поможем

@PavliukIllia · 07.08.2015, 12:00 **[ТС]**

А Как можно сбросить Систему до Заводских Настроек если у меня даже Recovery в XTBL зашифровано ???

@thyrex · 07.08.2015, 12:27

А смысл этого какой? Новая информация шифроваться не будет

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	06.08.2015, 11:16	4
	Забыли Сообщение от thyrex Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	06.08.2015, 12:01	6
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan** отмечены "List BCD" и "Driver MD5". [img]http://i.********/B92LqRQ.png[/img] Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt**). Пожалуйста, прикрепите его в следующем сообщении. 0

@PavliukIllia 0 / 0 / 0 Регистрация: 04.08.2015 Сообщений: 8
	06.08.2015, 18:45 [ТС]	7
	СДЕЛАЛ Ой я извиняюсь, но Файлы привышают размер 20 кб. что делать? 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	06.08.2015, 19:05	8
	Заархивировать их 0

@PavliukIllia 0 / 0 / 0 Регистрация: 04.08.2015 Сообщений: 8
	06.08.2015, 21:30 [ТС]	11
	Я конечно извиняюсь, но что такое " НАЖМИТЕ кнопку fix " ??? Я создал документ, скинул скрипт, переименовал как сказали, сохранил, всё находится в одной папке. Нажал на FRST, открылся документ и ....... ???? 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	06.08.2015, 21:43	12
	А как же? Сообщение от thyrex Запустите FRST 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	07.08.2015, 11:34	14
	С расшифровкой не поможем 0

@PavliukIllia 0 / 0 / 0 Регистрация: 04.08.2015 Сообщений: 8
	07.08.2015, 12:00 [ТС]	15
	А Как можно сбросить Систему до Заводских Настроек если у меня даже Recovery в XTBL зашифровано ??? 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	07.08.2015, 12:27	16
	А смысл этого какой? Новая информация шифроваться не будет 0