Вирус шифрует файлы в в xtbl

[bringer]

Выключил компьютер, на следующий день при включении обнаружил вот такую надпись на рабочем столе:
(файлы сканировались Dr.web Curelt, на сколько понял все результаты выполнены и находятся в логах)
Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

31FFD4D960C80965DA6B|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

31FFD4D960C80965DA6B|0

to e-mail address decode00001@gmail.com or decode00002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.03.11-20.17.zip

[thyrex]

Mobogenie3 удалите через Установку программ

 

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\incom\AppData\Local\SwvUpdater\Updater.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
SetServiceStart('MobogenieService', 4);
DeleteService('MobogenieService');
SetServiceStart('servervo', 4);
DeleteService('servervo');
TerminateProcessByName('c:\users\incom\appdata\roaming\vopackage\vosrv.exe');
QuarantineFile('c:\users\incom\appdata\roaming\vopackage\vosrv.exe','');
TerminateProcessByName('c:\program files\mobogenie3\mobogenieservice.exe');
TerminateProcessByName('c:\program files\mobogenie3\mobogeniehelper.exe');
DeleteFile('c:\program files\mobogenie3\mobogeniehelper.exe','32');
DeleteFile('c:\program files\mobogenie3\mobogenieservice.exe','32');
DeleteFile('c:\users\incom\appdata\roaming\vopackage\vosrv.exe','32');
DeleteFile('C:\Program Files\Mobogenie3\log.dll','32');
DeleteFile('C:\Program Files\Mobogenie3\MGCommon.dll','32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Обнови Софт','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32');
DeleteFile('C:\Users\incom\AppData\Local\SwvUpdater\Updater.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[bringer]

Кроме этого ответа ничего за несколько дней не приходило ни на почту, ни в сам личный кабинет. К тому же в поле "мои запросы" не отображается ничего. Заявку отправлял дважды

Пришел на почту ответ:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

csrss.exe - Backdoor.Win32.Androm.gkyh

Детектирование файла будет добавлено в следующее обновление.

vosrv.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ruhttp://www.viruslist.ru"

[thyrex]

Новые логи где?

[bringer]

Кроме этого сообщения у меня нет больше информации.
Мне отправить еще раз запрос? куда должны придти логи?

[thyrex]

Новые логи по правилам сделайте и прикрепите к сообщению