Троян шифровальщик .xtbl

[MaxBit]

Прошу помощи. Троян поймала жена, поэтому не могу точно указать после чего он запустился. Предположительно после открытия одного из сайтов с книгами Донцовой либо после открытия файла, скаченного с сайта с рефератами   все текстовые файлы и файлы изображений (может и еще какие, я не вникал) зашифровались в формат *.xtbl. К сожалению скачанный файл "реферат" мне так и не удалось найти, внятного ответа на вопрос о его местонахождении я не получил. Также везде появились файлы readme с текстом:

"Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

4AC46511AAC4E105031A|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."

 

При обращении на указанный e-mail просят заплатить 5000 р за дешифровку файлов.

 

Проверка KVRT проведена, 3 файла перемещены в карантин.

Очистка диска проведена.

Autologger запущен.

Пример зашифрованного файла, скрины и логи прилагаются.

CollectionLog-2015.03.25-00.26.zip

образец файла.rar

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('C:\Program Files (x86)\InstallShield Installation Information\{5612C844-55BC-4B77-82C2-A2E28962418E}\Setup.exe','');
 QuarantineFile('C:\PROGRA~3\Mozilla\dnpycbn.exe','');
 QuarantineFile('C:\Program Files (x86)\VYUGATEC\VYUGATEC VideoServer\vserver214r.exe','');
 QuarantineFile('C:\Program Files (x86)\EgisTec\MyWinLocker','');
 QuarantineFile('3\x86\mwlDaemon.exe','');
 QuarantineFile('C:\Windows\system32\drivers\490727C0.sys','');
 QuarantineFile('C:\Windows\system32\drivers\37803488.sys','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('C:\PROGRA~3\Mozilla\dnpycbn.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\mykrxdi','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.omlet.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [Client Server Runtime Subsystem] "C:\ProgramData\Windows\csrss.exe"

 

Сделайте новые логи по правилам (только пункт 3).

+

логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[MaxBit]

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

Не пойму, это и есть ответ, или нужно еще ждать:

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинетаhttps://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 

csrss.exe - Trojan-Ransom.Win32.Shade.w

 

Детектирование файла будет добавлено в следующее обновление.

 

Setup.exe

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

vserver214r.exe

 

Вредоносный код в файле не обнаружен.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ruhttp://www.viruslist.ru"

Изменено 14 апреля, 2015 пользователем MaxBit

[mike 1]

Сделайте новые логи по правилам (только пункт 3).

+

логи FRST

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[MaxBit]

 

Сделайте новые логи по правилам (только пункт 3).

+

логи FRST

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

 

 

не понял. нужно создать новую тему? пункт 3: 

 

3. Создайте новую тему в разделе форума "Уничтожение вирусов". Для этого выполните следующие шаги:

• нажмите на кнопку  ;
• в поле "Название темы" напишите кратко свою проблему;

  Примечание. В данном поле не используйте слова "SOS", "спасите", "помогите", "срочно", "караул" и т. п. Это не ускорит решения Вашей проблемы, а, наоборот, - будет расценено как нарушение пункта 18 Правил форума.

• в поле "Описание темы" можно немного уточнить суть проблемы, а в поле для сообщений более подробно опишите возникшую проблему (можно указать, после чего именно возникли проблемы);
• вложите в сообщение файл протоколов (логов) - CollectionLog-yyyy.mm.dd-hh.mm.zip

[Mark D. Pearlstone]

@MaxBit, нет, сделайте только нужные логи и прикрепите в этой теме

[MaxBit]

Логи FRST делал еще когда создавал тему + новые сегодняшние логи

Addition.txt

FRST.txt

CollectionLog-2015.04.14-22.50.zip

FRST.txt

Изменено 14 апреля, 2015 пользователем MaxBit

[MaxBit]

 

Сделайте новые логи по правилам (только пункт 3).

+

логи FRST

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

 

Добрый день.Когда будет и будет ли вообще ответ по решению моей проблемы? 

Не знаю важно ли это, но возможно я обнаружил файл - источник проблемы. Расширение этого файла .ytbl, в то время как у всех остальных зашифрованных файлов - .xtbl. К тому-же название файла не изменилось, в отличие от остальных после шифровки. В архиве прилагаются оба варианта.

образцы.rar

[mike 1]

Извините потеряли вашу тему.

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
SearchScopes: HKU\S-1-5-21-2184217513-4248619194-617884876-1000 -> {4179ED28-0094-45eb-B743-1290A1B5FAFF} URL = http://webalta.ru/poisk?q={searchTerms}
Toolbar: HKU\S-1-5-21-2184217513-4248619194-617884876-1000 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} -  No File
Toolbar: HKU\S-1-5-21-2184217513-4248619194-617884876-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-02-05]
2015-03-23 15:56 - 2015-03-23 15:56 - 03148854 _____ () C:\Users\user\AppData\Roaming\D96C8EDED96C8EDE.bmp
2015-03-23 13:30 - 2015-03-25 09:27 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-23 13:30 - 2015-03-25 09:27 - 00000000 __SHD () C:\ProgramData\Windows
2015-03-23 13:29 - 2015-03-23 13:29 - 00000000 ___HD () C:\Users\user\AppData\Roaming\C0DF05C3
2013-12-18 00:55 - 2013-12-18 00:55 - 0000006 _____ () C:\Users\user\AppData\Roaming\smw_inst
2013-12-23 15:59 - 2013-12-23 16:00 - 0000006 _____ () C:\Users\user\AppData\Roaming\vkm_inst
2013-06-05 09:44 - 2013-06-05 09:44 - 0004988 _____ () C:\ProgramData\yivouaat.sfe
C:\Users\user\AppData\Local\Temp\runprog.exe
Task: {93B931B0-3E38-4BF1-8C82-CA8B92FE543A} - \mykrxdi No Task File <==== ATTENTION
Folder: C:\FRST\Quarantine
AlternateDataStreams: C:\ProgramData\Temp:0B9176C0
AlternateDataStreams: C:\ProgramData\Temp:444C53BA
AlternateDataStreams: C:\ProgramData\Temp:4CF61E54
AlternateDataStreams: C:\ProgramData\Temp:4D066AD2
AlternateDataStreams: C:\ProgramData\Temp:5D7E5A8F
AlternateDataStreams: C:\ProgramData\Temp:93DE1838
AlternateDataStreams: C:\ProgramData\Temp:AB689DEA
AlternateDataStreams: C:\ProgramData\Temp:ABE89FFE
AlternateDataStreams: C:\ProgramData\Temp:E1F04E8D
AlternateDataStreams: C:\ProgramData\Temp:E3C56885
AlternateDataStreams: C:\Users\Все пользователи\Temp:0B9176C0
AlternateDataStreams: C:\Users\Все пользователи\Temp:444C53BA
AlternateDataStreams: C:\Users\Все пользователи\Temp:4CF61E54
AlternateDataStreams: C:\Users\Все пользователи\Temp:4D066AD2
AlternateDataStreams: C:\Users\Все пользователи\Temp:5D7E5A8F
AlternateDataStreams: C:\Users\Все пользователи\Temp:93DE1838
AlternateDataStreams: C:\Users\Все пользователи\Temp:AB689DEA
AlternateDataStreams: C:\Users\Все пользователи\Temp:ABE89FFE
AlternateDataStreams: C:\Users\Все пользователи\Temp:E1F04E8D
AlternateDataStreams: C:\Users\Все пользователи\Temp:E3C56885

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[MaxBit]

 

Извините потеряли вашу тему.

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

Готово.

Fixlog.txt

[mike 1]

Логи в порядке. С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188