Файлы зашифрованы и переименованы с расширением xtbl

[alexalex1977]

Некоторые файлы на компьютере зашифрованы и переименованы с расширением xtbl. При этом присутствуют файлы readme - см.вложение. Файл логов - см.вложение. Просим помочь расшифровать файлы.

CollectionLog-2015.03.06-00.38.zip

README1.txt

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\windows\system32\tiltwheelmouse.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{94c4b27a-8cb1-4214-9d76-87c59a8cf657}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64.sys','');
DeleteService('{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64');
DeleteService('{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}Gw64');
DeleteService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64');
DeleteService('{94c4b27a-8cb1-4214-9d76-87c59a8cf657}Gw64');
DeleteService('{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64');
DeleteService('{84e24724-32a5-4ef8-b981-cc669543b4a4}Gw64');
DeleteService('{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64');
QuarantineFile('C:\WINDOWS\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys','');
DeleteService('{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64');
DeleteService('{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64');
DeleteService('{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64');
DeleteService('{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64');
DeleteService('{21abe523-36e2-4dad-9e0e-8fe9f0be1916}Gw64');
DeleteService('{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64');
QuarantineFile('C:\WINDOWS\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{21abe523-36e2-4dad-9e0e-8fe9f0be1916}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64.sys','');
DeleteService('{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64');
DeleteFile('C:\WINDOWS\system32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{21abe523-36e2-4dad-9e0e-8fe9f0be1916}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{94c4b27a-8cb1-4214-9d76-87c59a8cf657}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[alexalex1977]

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:1] [KLAN-2568880434]

От кого: newvirus@kaspersky.com

 

вчера, 7:20

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинетаhttps://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 3/6/2015 12:18:29 AM
To: newvirus@kaspersky.com
Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:1]


LANG: ru

description:
Выполняется запрос хэлпера

Загруженные файлы:
quarantine_with_password.rar

Файлы из карантина CureIt! скопировал в отдельную папку, заархивировал, отправил повторно с несколькими зашифрованными файлами.

 

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:1] [KLAN-2570265105]

От кого: newvirus@kaspersky.com Кому: e951sav2@mail.ru

 

вчера, 19:11

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинетаhttps://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

6cf0FBVwXxuMgINfxqEfhiOifs0udsgq2ywbeLEPIZs4mH5ymdgp3MVI-Scw+Dc0TRrWLAb6HmH1CzFpdww7Rw==.xtbl,
Ac2Ctu7Fhup7k7rK8z+NvpjlXMdw3BBel+OYZLlqLAw=.xtbl,
bL0sdhlNx0n99zODhWhnU11R4f-eqcFaxv8kTXOpNmEkFDfv4M8GBphUdtl8gfUP-lqQwfLBks1JvkUZiBrkxw==.xtbl,
{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64.sys,
{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys,
{21abe523-36e2-4dad-9e0e-8fe9f0be1916}Gw64.sys,
{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys,
{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys,
{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys,
{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys,
{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64.sys,
{84e24724-32a5-4ef8-b981-cc669543b4a4}Gw64.sys,
{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64.sys,
{94c4b27a-8cb1-4214-9d76-87c59a8cf657}Gw64.sys,
{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys,
{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}Gw64.sys,
{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys,
{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64.sys,
1.sys,
10{94c4b27a-8cb1-4214-9d76-87c59a8cf657}Gw64,
11{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64,
12{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64,
13{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64,
2.sys,
3.sys,
4.sys,
5.sys,
6.sys,
7{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64,
8{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64,
9{84e24724-32a5-4ef8-b981-cc669543b4a4}Gw64,
browser.exe,
browser2.exe,
browser3

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

kl_quarantine_data - Backdoor.Win32.Androm.gkid

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского
 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru".

[thyrex]

Новые логи где?

[alexalex1977]

Новые логи AutoLogger

CollectionLog-2015.03.07-01.21.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[alexalex1977]

MBAM log

mbam_log.txt

[thyrex]

Поместите в карантин МВАМ все, кроме

Trojan.Passwords.GM, C:\Program Files (x86)\Watch Dogs\bin\3dmGameDll.dll, , [9e0b34eec0ca39fd0a6fbd81dd2505fb],
Trojan.Passwords.GM, C:\Program Files (x86)\Watch Dogs\bin\crack_backup.exe, , [42676eb493f7b18599e0f44a2dd5c739],
PUP.Optional.InstallCore, C:\Users\???»?°??\AppData\Roaming\1H1Q\Super Fast Download Manger Packages\uninstaller.exe, , [3376ac760585320404a32a0b56ace61a],
PUP.Optional.OpenCandy, C:\Users\???»?°??\Desktop\??N?????N??°??N?\DTLite4491-0356.exe, , [bfeab46ee6a45ed8e834ac59f80ee11f],
PUP.Optional.InstallCore, C:\Users\???»?°??\Desktop\??N?????N??°??N?\Spyware_Terminator_Rus_Setup.exe, , [8920e43edcaea78f4a241c294cb932ce],
PUP.RiskwareTool.CK, C:\Users\???»?°??\Desktop\??N?????N??°??N?\KOMPAS-3D V15\KOMPAS-3D_V15_antiHASP_v1.0.exe, , [208951d1eaa0d066b1db0bc034ccc040],
PUP.RiskwareTool.CK, C:\Users\???»?°??\Documents\Call of Duty\CoD4_MW_(RUS)_[R.G. Mechanics]\KeyGen\KeyGen.exe, , [129757cbc2c87eb81cf67e9215ed9769],
RiskWare.Tool.CK, C:\Users\???»?°??\Documents\Everest\keygen.exe, , [5e4bc45ef09a8da9697f413d47bbdb25],
PUP.Optional.OpenCandy, C:\Users\???»?°??\YandexDisk\??N?????N??°??N?\DTLite4491-0356.exe, , [1b8ece546921ff371a0244c1a75f58a8],

[alexalex1977]

Поместил в карантин все кроме вышеперечисленных файлов. Отправлять карантин в Лабораторию Касперского ?

[thyrex]

Карантин МВАМ в вирлабе не ждут ))

 

Удалите МВАМ.

 

С расшифровкой не поможем. Ни один из вирлабов тоже.