Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Некоторые файлы на компьютере зашифрованы и переименованы с расширением xtbl. При этом присутствуют файлы readme - см.вложение. Файл логов - см.вложение. Просим помочь расшифровать файлы.

CollectionLog-2015.03.06-00.38.zip

README1.txt

Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\windows\system32\tiltwheelmouse.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{94c4b27a-8cb1-4214-9d76-87c59a8cf657}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64.sys','');
DeleteService('{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64');
DeleteService('{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}Gw64');
DeleteService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64');
DeleteService('{94c4b27a-8cb1-4214-9d76-87c59a8cf657}Gw64');
DeleteService('{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64');
DeleteService('{84e24724-32a5-4ef8-b981-cc669543b4a4}Gw64');
DeleteService('{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64');
QuarantineFile('C:\WINDOWS\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys','');
DeleteService('{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64');
DeleteService('{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64');
DeleteService('{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64');
DeleteService('{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64');
DeleteService('{21abe523-36e2-4dad-9e0e-8fe9f0be1916}Gw64');
DeleteService('{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64');
QuarantineFile('C:\WINDOWS\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{21abe523-36e2-4dad-9e0e-8fe9f0be1916}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64.sys','');
DeleteService('{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64');
DeleteFile('C:\WINDOWS\system32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{21abe523-36e2-4dad-9e0e-8fe9f0be1916}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{94c4b27a-8cb1-4214-9d76-87c59a8cf657}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}Gw64.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Опубликовано
Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:1] [KLAN-2568880434]
От кого: newvirus@kaspersky.com
 
вчера, 7:20
 
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинетаhttps://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 3/6/2015 12:18:29 AM
To: newvirus@kaspersky.com
Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:1]


LANG: ru

description:
Выполняется запрос хэлпера

Загруженные файлы:
quarantine_with_password.rar

Файлы из карантина CureIt! скопировал в отдельную папку, заархивировал, отправил повторно с несколькими зашифрованными файлами.

 

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:1] [KLAN-2570265105]
От кого: newvirus@kaspersky.com Кому: e951sav2@mail.ru
 
вчера, 19:11
 
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинетаhttps://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

6cf0FBVwXxuMgINfxqEfhiOifs0udsgq2ywbeLEPIZs4mH5ymdgp3MVI-Scw+Dc0TRrWLAb6HmH1CzFpdww7Rw==.xtbl,
Ac2Ctu7Fhup7k7rK8z+NvpjlXMdw3BBel+OYZLlqLAw=.xtbl,
bL0sdhlNx0n99zODhWhnU11R4f-eqcFaxv8kTXOpNmEkFDfv4M8GBphUdtl8gfUP-lqQwfLBks1JvkUZiBrkxw==.xtbl,
{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64.sys,
{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys,
{21abe523-36e2-4dad-9e0e-8fe9f0be1916}Gw64.sys,
{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys,
{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys,
{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys,
{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys,
{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64.sys,
{84e24724-32a5-4ef8-b981-cc669543b4a4}Gw64.sys,
{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64.sys,
{94c4b27a-8cb1-4214-9d76-87c59a8cf657}Gw64.sys,
{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys,
{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}Gw64.sys,
{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys,
{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64.sys,
1.sys,
10{94c4b27a-8cb1-4214-9d76-87c59a8cf657}Gw64,
11{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64,
12{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64,
13{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64,
2.sys,
3.sys,
4.sys,
5.sys,
6.sys,
7{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64,
8{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64,
9{84e24724-32a5-4ef8-b981-cc669543b4a4}Gw64,
browser.exe,
browser2.exe,
browser3

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

kl_quarantine_data - Backdoor.Win32.Androm.gkid

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского
 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru".

Опубликовано

Поместите в карантин МВАМ все, кроме

Trojan.Passwords.GM, C:\Program Files (x86)\Watch Dogs\bin\3dmGameDll.dll, , [9e0b34eec0ca39fd0a6fbd81dd2505fb],
Trojan.Passwords.GM, C:\Program Files (x86)\Watch Dogs\bin\crack_backup.exe, , [42676eb493f7b18599e0f44a2dd5c739],
PUP.Optional.InstallCore, C:\Users\???»?°??\AppData\Roaming\1H1Q\Super Fast Download Manger Packages\uninstaller.exe, , [3376ac760585320404a32a0b56ace61a],
PUP.Optional.OpenCandy, C:\Users\???»?°??\Desktop\??N?????N??°??N?\DTLite4491-0356.exe, , [bfeab46ee6a45ed8e834ac59f80ee11f],
PUP.Optional.InstallCore, C:\Users\???»?°??\Desktop\??N?????N??°??N?\Spyware_Terminator_Rus_Setup.exe, , [8920e43edcaea78f4a241c294cb932ce],
PUP.RiskwareTool.CK, C:\Users\???»?°??\Desktop\??N?????N??°??N?\KOMPAS-3D V15\KOMPAS-3D_V15_antiHASP_v1.0.exe, , [208951d1eaa0d066b1db0bc034ccc040],
PUP.RiskwareTool.CK, C:\Users\???»?°??\Documents\Call of Duty\CoD4_MW_(RUS)_[R.G. Mechanics]\KeyGen\KeyGen.exe, , [129757cbc2c87eb81cf67e9215ed9769],
RiskWare.Tool.CK, C:\Users\???»?°??\Documents\Everest\keygen.exe, , [5e4bc45ef09a8da9697f413d47bbdb25],
PUP.Optional.OpenCandy, C:\Users\???»?°??\YandexDisk\??N?????N??°??N?\DTLite4491-0356.exe, , [1b8ece546921ff371a0244c1a75f58a8],
Опубликовано

Поместил в карантин все кроме вышеперечисленных файлов. Отправлять карантин в Лабораторию Касперского ?

Опубликовано

Карантин МВАМ в вирлабе не ждут ))

 

Удалите МВАМ.

 

С расшифровкой не поможем. Ни один из вирлабов тоже.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Екатерина Лучинина
      Автор Екатерина Лучинина
      Пару недель назад, столкнулась с проблемой, ни одну фотографию на компьютере не смогла открыть. Ну думаю, опять вирус подцепила(где и когда, не помню/не знаю), отнесу администратору на работе, должен починить...
      Принесла вчера, а он мне с порога, мол: " --Фигу, что я уже из своих фотографий увижу, если у меня их не было в другом месте." 
      А фотографии я не копировала никуда. В общем после пролитых слез полезла я поискать решение, ну и направило меня сюда.
      Поможите люди добрые, вроде все сделала по инструкции, вот лог.
       

      Ой, задвоилась тема, можно одну удалить?
      CollectionLog-2015.11.10-12.48.zip
      report1.log
      report2.log
    • Alex_hvost
      Автор Alex_hvost
      Добрый день! схожая проблема уже озвучивалась на этом форуме, следуя инструкциям создаю новую тему с тем сообщением что пришло мне:
      на рабочем столе появилась надпись красными буквами на черном экране: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbtl и появилась 6 файлом readme в котором написано:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: B3DF8C1ACB4CD7FA4CD8|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: B3DF8C1ACB4CD7FA4CD8|0 to e-mail address files1147@gmail.com or post100023@gmail.com . Then you will receive all necessary instructions.  
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Прошу вас помочь с разрешением этой ситуации Спасибо
    • borka_e
      Автор borka_e
      Знакомый принес ноутбук, говорит не выходит в интернет, на ноутбуке все или большинство файлов зашифрованы - расширение xtbl, есть ли шансы на восстановление? Согласно инструкции на этом сайте почистил систему: Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. Сделал лог AutoLogger.exe, файл прилагаю. 
      CollectionLog-2015.10.27-10.40.zip
    • bom81
      Автор bom81
      Вирус зашифровал файлы
      примерно минут за 12
       
      сам файл, который запустил пользователь, нашел
      051115scan.scr
       
       
       
      Оставлены 10 файликов  на рабочем столе о том как расшифровать
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 339759B8033610BB2417|288|2|7 на электронный адрес files100001@gmail.com или files100002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 339759B8033610BB2417|288|2|7 to e-mail address files100001@gmail.com or files100002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     могу приложить сам вирус и зашифрованные файлы     возможно ли их будет расшифровать? виндовс переставить не долго, а вот расшифровать... CollectionLog-2015.11.08-14.57.zip
    • vsmzadmin
      Автор vsmzadmin
      Пользователь открыл прикрепленный к письму архив с исполняемым файлом. В результате все документы зашифрованы, имена закодированы, расширение XTBL В файле readme.txt сообщение:  
            CollectionLog-2015.11.10-10.51.zip
×
×
  • Создать...