Зашифрованы файлы xtbl

@Aleksej2303 · Регистрация: 24.05.2015

Author24 — интернет-сервис помощи студентам

Приветствую! Где-то что-то словил, теперь все фото, видео, документы зашифровались в файлы с разрешением .xtbl.
Видел у вас темы где выложены скрипты, но не могу в них ответить. Прикладываю скрин рабочего стола.

Текст ридми: Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
5F705B087C80CEBB1ECB|0
на электронный адрес decode0987@gmail.com или decode098@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
5F705B087C80CEBB1ECB|0
to e-mail address decode0987@gmail.com or decode098@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data. Надеюсь на вашу помощь.

@thyrex · 24.05.2015, 23:14

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Aleksej2303 · 25.05.2015, 14:53 **[ТС]**

здравствуйте!я что то не прикрепил????

@Sandor · 25.05.2015, 15:10

Да, пройдите по ссылке, прочтите и выполните.

@Aleksej2303 · 25.05.2015, 15:20 **[ТС]**

здрасте! я вроде все что написано отправлял

@Sandor · 25.05.2015, 15:37

Сообщение от akok

По окончанию работы в папке AutoLogger расположенной там же куда распаковали архив, вы найдёте архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2013.11.09-21.04

Что-то не вижу))

@Aleksej2303 · 25.05.2015, 15:38 **[ТС]**

отправлю еще раз

@Aleksej2303 · 25.05.2015, 15:41 **[ТС]**

а как можно тут их еще отправить?

@Aleksej2303 · 25.05.2015, 15:43 **[ТС]**

вот это я отправлял

@Aleksej2303 · 25.05.2015, 15:46 **[ТС]**

извините я далек от компьютерных технологий,просто мне закодировали рабочие папки с фотками по которым я работаю

@Sandor · 25.05.2015, 15:51

Программу Tencent устанавливали самостоятельно?

С расшифровкой не поможем. Будет очистка и исправление.

Внимание! Рекомендации написаны специально для пользователя Aleksej2303. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Time tasks
YAC(Yet Another Cleaner!)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
 DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;  
 ImagePathStr, RootStr, SubRootStr, LangID: string;
 AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
 FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; 
 RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
 Inc(AllRoots);
 if RegKeyExistsEx('HKLM', Root) then
   RegKeyResetSecurity('HKLM', Root)
 else
  begin
    Inc(RootsRestored);
    RegKeyCreate('HKLM', Root);
    AddToLog(RegSectMsg + Root + RestMsg);
   end;
end;

procedure CheckAndRestoreSubSection;
begin
  CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
  AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
  Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
  AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
  Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
  RegKeyStrParamWrite('HKLM', Root, Param, Value);
  RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
  Inc(AllKeys);
  if not RegKeyParamExists('HKLM', Root, Param) then
    RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', Root, Param) then 
  begin
    RegKeyIntParamWrite('HKLM', Root, Param, Value);
    RestoredMsg(Root, Param);
  end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, Param) then
  begin
    ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
    RestoredMsg(RootStr, Param);
  end;
end;

// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
 RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
 if RegKeyExistsEx('HKLM', RegStr) then
  begin
    Inc(AllKeys);
    RegKeyResetSecurity('HKLM', RegStr);
    RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
    FixedMsg(RegStr, 'ImagePath');
  end;
end;

{ Выполнение исправление всех ключей в ветках -
   'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
     i : integer;
begin
 if Srv = 'BITS' then
   FileServiceDll := FullPathSystem32 + 'qmgr.dll'
 else
   FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
 RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

 CheckAndRestoreSection(RootStr);

 CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
 CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
 CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
   RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
 else
  begin
    Dec(AllKeys);
    if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
      for i:= 0 to 999 do
       begin
         if i > 0 then
           CCSNumber := FormatFloat('ControlSet000', i)
         else
           CCSNumber := 'CurrentControlSet';
         ImagePathFix(CCSNumber, Srv);
      end;
   end;

 CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
 CheckAndRestoreIntParam(RootStr, 'Start', 2);
 CheckAndRestoreIntParam(RootStr, 'Type', 32);

 if Srv = 'BITS' then
  begin
    CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
    CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
  end;

 SubRootStr:= RootStr + '\Enum';
 CheckAndRestoreSubSection;

 CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
 CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
 CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

 SubRootStr := RootStr + '\Security';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
  begin
    RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
    RestoredMsg(SubRootStr, 'Security');
  end;

 SubRootStr:= RootStr + '\Parameters';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    RestoredMsg(SubRootStr, 'ServiceDll');
  end
 else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    FixedMsg(SubRootStr, 'ServiceDll');
  end
end;

{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\алексей\AppData\Local\Yandex\browser.bat', '');
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\install_addons.exe', '');
 QuarantineFile('Data\install_addons.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteFile('C:\Windows\system32\Tasks\chrome5', '64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon', '64');
 DeleteFile('C:\Users\алексей\AppData\Local\Yandex\browser.bat', '32');
 DeleteFile('C:\iexplore.bat', '32');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\install_addons.exe', '32');
 DeleteFile('Data\install_addons.exe', '32');
 DeleteFile('D:\autorun.inf', '32');
 ClearLog;
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
 LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); 
 if LangID = '0419' then
  begin
    DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
    DispayNameTextWuauServ := 'Автоматическое обновление';
    DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
    DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
    AddToLog('Операционная система - русская');
    FinishMsg := '–––– Восстановление завершено ––––';
    RestoreMsg := 'Восстановлено разделов\параметров: ';
    FixMsg := 'Исправлено параметров: ';
    CheckMsg := 'Проверено разделов\параметров: ';
    RegSectMsg := 'Раздел реестра HKLM\';
    ParamMsg := 'Параметр ';
    ParamValueMsg := 'Значение параметра ';
    InRegSectMsg := ' в разделе реестра HKLM\';
    CorrectMsg := ' исправлено на оригинальное.';
    RestMsg := 'восстановлен.';
  end
 else if LangID = '0409' then
  begin
    DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
    DispayNameTextWuauServ := 'Automatic Updates'; 
    DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
    DispayNameTextBITS := 'Background Intelligent Transfer Service';
    AddToLog('Operation system - english');
    FinishMsg := '–––– Restoration finished ––––';
    RestoreMsg := 'Sections\parameters restored: ';
    FixMsg := 'Parameters corrected: ';
    CheckMsg := 'Sections\parameters checked: ';
    RegSectMsg := 'Registry section HKLM\';
    ParamMsg := 'Parameter ';
    ParamValueMsg := 'Value of parameter ';
    InRegSectMsg := ' in registry section HKLM\';
    CorrectMsg := ' corrected on original.';
    RestMsg := ' restored.';
  end;
 AddToLog('');

{ Определение папки X:\Windows\System32\ }
 NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
 ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
 Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
 FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';
 
 AllRoots := 0;
 AllKeys := 0;
 RootsRestored := 0;
 KeysRestored := 0;
 KeysFixed := 0;

 CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
 CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

 AddToLog('');
 AddToLog(FinishMsg);
 AddToLog('');
 AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
 AddToLog(FixMsg + IntToStr(KeysFixed));
 AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
 SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@Aleksej2303 · 25.05.2015, 16:06 **[ТС]**

мне нужны эти файлы!я их не смогу восстановить!

@thyrex · 25.05.2015, 18:17

Выполняйте то, что Вас просят, а не забивайте тему флудом, пожалуйста

Сообщение от Aleksej2303

мне нужны эти файлы!я их не смогу восстановить!

Помогут только злодеи

@Aleksej2303 0 / 0 / 0 Регистрация: 24.05.2015 Сообщений: 8
		1
	Зашифрованы файлы xtbl 24.05.2015, 20:59. Показов 2154. Ответов 12 Метки нет (Все метки) Приветствую! Где-то что-то словил, теперь все фото, видео, документы зашифровались в файлы с разрешением .xtbl. Видел у вас темы где выложены скрипты, но не могу в них ответить. Прикладываю скрин рабочего стола. Текст ридми: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 5F705B087C80CEBB1ECB\|0 на электронный адрес decode0987@gmail.com или decode098@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 5F705B087C80CEBB1ECB\|0 to e-mail address decode0987@gmail.com or decode098@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. Надеюсь на вашу помощь. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	24.05.2015, 23:14	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Aleksej2303 0 / 0 / 0 Регистрация: 24.05.2015 Сообщений: 8
	25.05.2015, 14:53 [ТС]	3
	здравствуйте!я что то не прикрепил???? 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	25.05.2015, 15:10	4
	Да, пройдите по ссылке, прочтите и выполните. 0

@Aleksej2303 0 / 0 / 0 Регистрация: 24.05.2015 Сообщений: 8
	25.05.2015, 15:20 [ТС]	5
	здрасте! я вроде все что написано отправлял 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	25.05.2015, 15:37	6
	Сообщение от akok По окончанию работы в папке AutoLogger расположенной там же куда распаковали архив, вы найдёте архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2013.11.09-21.04 Что-то не вижу)) 0

@Aleksej2303 0 / 0 / 0 Регистрация: 24.05.2015 Сообщений: 8
	25.05.2015, 15:41 [ТС]	8
	а как можно тут их еще отправить? 0

@Aleksej2303 0 / 0 / 0 Регистрация: 24.05.2015 Сообщений: 8
	25.05.2015, 15:46 [ТС]	10
	извините я далек от компьютерных технологий,просто мне закодировали рабочие папки с фотками по которым я работаю 0

@Aleksej2303 0 / 0 / 0 Регистрация: 24.05.2015 Сообщений: 8
	25.05.2015, 16:06 [ТС]	12
	мне нужны эти файлы!я их не смогу восстановить! 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	25.05.2015, 18:17	13
	Выполняйте то, что Вас просят, а не забивайте тему флудом, пожалуйста Сообщение от Aleksej2303 мне нужны эти файлы!я их не смогу восстановить! Помогут только злодеи 0