Шифровка XBTL

[user555]

Всё как у всех (

 

вот-

CollectionLog-2015.03.14-20.36.zip

mbam.txt

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Илюша\AppData\Local\Microsoft\Windows\Vkmusicdownloader.exe','');
QuarantineFile('C:\Users\Илюша\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
QuarantineFile('C:\Users\Илюша\AppData\Local\Kometa\kometaup.exe','');
QuarantineFile('C:\Users\Илюша\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
QuarantineFile('C:\Users\Илюша\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\ProgramData\svchost.exe','');
DeleteFile('C:\ProgramData\svchost.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ad76a6098df431046ffdf41b1a2ed40a');
DeleteFile('C:\Users\Илюша\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\Илюша\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
DeleteFile('C:\Users\Илюша\AppData\Local\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xxnmyogdfp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xzekjtidpw');
DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
DeleteFile('C:\Users\Илюша\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Vkmusicdownloader','64');
DeleteFile('C:\Users\Илюша\AppData\Local\Microsoft\Windows\Vkmusicdownloader.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Поместите в карантин МВАМ все, кроме

 

HackTool.Agent.H, C:\Users\??»N?N??°\Desktop\??N??µ\?? ??????,? ???? ?§????«!!!\Winject.exe, , [1d8c90929febb87e8871c9d8c240d62a],
HackTool.Agent.H, C:\Users\??»N?N??°\Desktop\??N??µ\????????????????\Interwebz_cs1.6.rar, , [aaff978b9cee86b0c039fba631d14eb2],
PUP.RiskwareTool.CK, C:\Program Files\Adobe\Adobe After Effects CS6\Support Files\amtlib.dll, , [efbac55d107aae8825b505af52b0f10f],
PUP.RiskwareTool.CK, E:\TORRENT\Adobe After Effects CS6 11.0.1.12\???µ???°N?N?N????°\amtlib.dll, , [f7b263bff49645f109d1ded61ee412ee],
HackTool.Agent.H, I:\?????? ??????\???????°N? ???°?????° (2)\?? ??????,? ???? ?§????«!!!\Winject.exe, , [cfda56cc008a6dc9d9203170db277c84],

[user555]

c:\quarantine.zip пустой

CollectionLog-2015.03.16-20.50.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.