Вирус шифратор c расширением .xtbl

[MOK]

Здравствуйте!

 

Буквально вчера перестали запускаться программы, ссылаясь на не найденные файлы. Решил проверить целостность, оказались зашифрованы файлы. Попытался сделать откат системы, не помогло.

 

Файлы имеют вид типа: HyBvVQ0P9WIPpUcXGd6ZIvN9ju3uMvgjZWTAZGsjI3w=.xtbl

Постоянно появляются новые на рабочем столе. Файл редми прикрепил.

 

Сделал все по пунктам:

 

1.Провел проверку ПК Kaspersky Virus Removal Tool 2011. Но скачав последнюю версию 2015 года. Выявило 5 угроз, скинул их в карантин. Не уверен что поможет, но скинул их в текстовый файл.(Прикрепил)

 

2.Очистил все временные файлы.

 

3.Проверку выполнил. Лог прикрепил.

 

Очень надеюсь на Вашу помощь, на компьютере очень много важных фалов. Есть подозрения на скаченную игру,после установки которой, начались все проблемы.

Найденные вирусы.txt

README1.txt

CollectionLog-2015.03.29-13.01.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Маким\AppData\Roaming\mystartsearch\UninstallManager.exe','');
QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll','');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
QuarantineFile('C:\Users\Максим\AppData\Roaming\cppredistx86.exe','');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
TerminateProcessByName('c:\users\Максим\appdata\local\temp\temp2148273926.exe');
QuarantineFile('c:\users\Максим\appdata\local\temp\temp2148273926.exe','');
TerminateProcessByName('c:\users\Максим\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\Максим\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
TerminateProcessByName('c:\program files (x86)\xtab\cmdshell.exe');
QuarantineFile('c:\program files (x86)\xtab\cmdshell.exe','');
DeleteFile('c:\program files (x86)\xtab\cmdshell.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('c:\users\Максим\appdata\roaming\ssleas.exe','32');
DeleteFile('c:\users\Максим\appdata\local\temp\temp2148273926.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\Максим\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportSaver');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ConnectionUpdater');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
DeleteFile('C:\Users\Маким\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{033F832D-7EA7-43B8-995B-E8FB2C8B7BBB}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[MOK]

Запрос отправил. Новые  логи прикрепил.

CollectionLog-2015.03.29-13.48.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[MOK]

Сделал полное сканирование. Логи прикрепил.

 

Пришел ответ: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2633841492]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

cmdshell.exe - not-a-virus:AdWare.Win32.SearchProtect.ky
protectwindowsmanager.exe - not-a-virus:AdWare.Win32.Agent.eqwa

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xwp

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

csrss.exe - Trojan.Win32.Fsysna.bluc
ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файлов будет добавлено в следующее обновление.

SupTab.dll

Вредоносный код в файле не обнаружен.

temp2148273926.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

Новые логи.txt

[thyrex]

Удалите в МВАМ все найденное

[MOK]

Удалил. Сделать повторную проверку?

P.S. И что делать дальше? Фалы все также заражены и имеют другое расширение. Как провести расшифровку?

[thyrex]

Удалите МВАМ

 

С расшифровкой не поможем.

Как вариант, http://virusinfo.info/showthread.php?t=156188