Перейти к содержанию

вирус шифровальщик XTBL


Рекомендуемые сообщения

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\system32\flashplayerupdateservice.exe','');
QuarantineFile('C:\Program Files\browsemark\bin\utilbrowsemark.exe','');
QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
SetServiceStart('{f4af1644-0425-4875-acd7-e31b7a10de1c}w', 4);
DeleteService('{f4af1644-0425-4875-acd7-e31b7a10de1c}w');
SetServiceStart('{f3b1ce6e-966f-4e02-9823-a536326d2dfc}w', 4);
DeleteService('{f3b1ce6e-966f-4e02-9823-a536326d2dfc}w');
SetServiceStart('{e4eb0160-6f7a-4315-bf31-c6485f7c9293}w', 4);
DeleteService('{e4eb0160-6f7a-4315-bf31-c6485f7c9293}w');
SetServiceStart('{d10d8391-a983-41c7-a2e0-9d9dc74b9859}w', 4);
DeleteService('{d10d8391-a983-41c7-a2e0-9d9dc74b9859}w');
SetServiceStart('{b99c8534-7800-48fa-bd71-519a46cdc7e1}w', 4);
DeleteService('{b99c8534-7800-48fa-bd71-519a46cdc7e1}w');
SetServiceStart('{b12062b1-c716-4bf0-812d-5a4d0f9c82d8}w', 4);
DeleteService('{b12062b1-c716-4bf0-812d-5a4d0f9c82d8}w');
SetServiceStart('{90b6a102-782f-4c36-a3a9-17de29ea9425}w', 4);
DeleteService('{90b6a102-782f-4c36-a3a9-17de29ea9425}w');
SetServiceStart('{81ebcbab-ce3d-4c4e-a5e7-682277238287}w', 4);
DeleteService('{81ebcbab-ce3d-4c4e-a5e7-682277238287}w');
SetServiceStart('{6a47960c-60ce-4d4d-aaa3-049fd1818a2f}w', 4);
DeleteService('{6a47960c-60ce-4d4d-aaa3-049fd1818a2f}w');
SetServiceStart('{57a6da14-0e15-452f-906a-c4b85df59775}w', 4);
DeleteService('{57a6da14-0e15-452f-906a-c4b85df59775}w');
SetServiceStart('{53ae7c5b-0e52-4196-9a9d-2c51b013ff96}w', 4);
DeleteService('{53ae7c5b-0e52-4196-9a9d-2c51b013ff96}w');
SetServiceStart('{3a56cc9b-f9ad-42fd-ac1b-fc5ebd3db97d}w', 4);
DeleteService('{3a56cc9b-f9ad-42fd-ac1b-fc5ebd3db97d}w');
SetServiceStart('{2deec1ea-1f1e-4323-98ec-9519ce101482}w', 4);
DeleteService('{2deec1ea-1f1e-4323-98ec-9519ce101482}w');
SetServiceStart('{2bcba3cd-3f79-4713-80cf-d88d8503ce2c}w', 4);
DeleteService('{2bcba3cd-3f79-4713-80cf-d88d8503ce2c}w');
SetServiceStart('{26e7a941-8230-485f-9c8f-bbb52122397d}w', 4);
DeleteService('{26e7a941-8230-485f-9c8f-bbb52122397d}w');
SetServiceStart('{1d80e5b5-4071-4723-b69d-7303dd29b08f}w', 4);
DeleteService('{1d80e5b5-4071-4723-b69d-7303dd29b08f}w');
QuarantineFile('C:\Windows\system32\drivers\{fe03a0d6-671a-4d18-b668-b656ba92ccf5}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{f4af1644-0425-4875-acd7-e31b7a10de1c}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{f3b1ce6e-966f-4e02-9823-a536326d2dfc}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{e4eb0160-6f7a-4315-bf31-c6485f7c9293}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{d10d8391-a983-41c7-a2e0-9d9dc74b9859}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{b12062b1-c716-4bf0-812d-5a4d0f9c82d8}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{90b6a102-782f-4c36-a3a9-17de29ea9425}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{81ebcbab-ce3d-4c4e-a5e7-682277238287}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{6a47960c-60ce-4d4d-aaa3-049fd1818a2f}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{57a6da14-0e15-452f-906a-c4b85df59775}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{53ae7c5b-0e52-4196-9a9d-2c51b013ff96}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{3a56cc9b-f9ad-42fd-ac1b-fc5ebd3db97d}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{2deec1ea-1f1e-4323-98ec-9519ce101482}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{2bcba3cd-3f79-4713-80cf-d88d8503ce2c}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{26e7a941-8230-485f-9c8f-bbb52122397d}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{1d80e5b5-4071-4723-b69d-7303dd29b08f}w.sys','');
DeleteFile('C:\Windows\system32\drivers\{1d80e5b5-4071-4723-b69d-7303dd29b08f}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{26e7a941-8230-485f-9c8f-bbb52122397d}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{2bcba3cd-3f79-4713-80cf-d88d8503ce2c}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{2deec1ea-1f1e-4323-98ec-9519ce101482}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{3a56cc9b-f9ad-42fd-ac1b-fc5ebd3db97d}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{53ae7c5b-0e52-4196-9a9d-2c51b013ff96}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{57a6da14-0e15-452f-906a-c4b85df59775}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{6a47960c-60ce-4d4d-aaa3-049fd1818a2f}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{81ebcbab-ce3d-4c4e-a5e7-682277238287}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{90b6a102-782f-4c36-a3a9-17de29ea9425}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{b12062b1-c716-4bf0-812d-5a4d0f9c82d8}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{d10d8391-a983-41c7-a2e0-9d9dc74b9859}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{e4eb0160-6f7a-4315-bf31-c6485f7c9293}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{f3b1ce6e-966f-4e02-9823-a536326d2dfc}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{f4af1644-0425-4875-acd7-e31b7a10de1c}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{fe03a0d6-671a-4d18-b668-b656ba92ccf5}w.sys','32');
DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
DeleteFile('C:\Program Files\browsemark\bin\utilbrowsemark.exe','32');
DeleteFile('C:\Windows\system32\flashplayerupdateservice.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

новый лог-файл (несоответствие времени создания файла и отправления из-за не переведенных часов)

CollectionLog-2015.04.01-18.40.zip

Изменено пользователем khrm
Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
 
Покажите содержимое файла
C:\Windows\system32\rmAds.bat

Приложите логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты

лог файл


файл rmAds.bat пустой. по поиску на диске С есть еще один файл с таким же именем С:\program files\Microsoft Data), он тоже пустой 


логи FRS

ClearLNK-02.04.2015_11-07.log

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
Task: {511DE3B7-7513-4488-852D-64B9718D5E44} - \Adobe Flash Player Updater No Task File <==== ATTENTION
Task: {54216CEA-42B8-45B1-9D70-00C1E287AC95} - \AdobeFlashPlayerUpdate 2 No Task File <==== ATTENTION
Task: {6081B36C-01E4-4DB1-B36E-A624D0BE76DA} - \chrome5_logon No Task File <==== ATTENTION
Task: {6572B94C-351F-4B0A-B6F6-327C7EE41033} - \chrome5 No Task File <==== ATTENTION
Task: {E5121430-C23E-40E5-B6D0-E725EEABA03A} - \AdobeFlashPlayerUpdate No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B
HKU\S-1-5-21-3448142066-3204368936-1927973544-1001\...\Run: [amigo] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3448142066-3204368936-1927973544-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3448142066-3204368936-1927973544-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=76e2f93710eb924c529b777724fbc0e9&text={searchTerms}
HKU\S-1-5-21-3448142066-3204368936-1927973544-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=76e2f93710eb924c529b777724fbc0e9&text={searchTerms}
URLSearchHook: HKLM - (No Name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} -  No File
SearchScopes: HKLM -> DefaultScope {95289393-33EA-4F8D-B952-483415B9C955} URL = http://search.qip.ru/?query={searchTerms}
SearchScopes: HKLM -> {95289393-33EA-4F8D-B952-483415B9C955} URL = http://search.qip.ru/?query={searchTerms}
SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
SearchScopes: HKU\.DEFAULT -> DefaultScope {95289393-33EA-4F8D-B952-483415B9C955} URL = http://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\.DEFAULT -> {95289393-33EA-4F8D-B952-483415B9C955} URL = http://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=76e2f93710eb924c529b777724fbc0e9&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&affID=121562&babsrc=SP_ss&mntrId=AE590024D267930F
SearchScopes: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> {5AD3941B-4064-461F-9F73-72083CF5B448} URL = http://rts.dsrlte.com/?q={searchTerms}&r=867
SearchScopes: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> {A1568C5D-ECDD-4E2B-B7AD-CDED1AEE138D} URL = http://www.ant.com/search?s=browser&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> {B8357782-AB43-42DE-B2FB-5C78D8DF3C2F} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933
SearchScopes: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> {DDD4A657-F40D-4401-96D2-FD167BD32EFF} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\.DEFAULT -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {1392B8D2-5C05-419F-A8F6-B9F15A596612} -  No File
Toolbar: HKU\.DEFAULT -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\.DEFAULT -> No Name - {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> No Name - {468CD8A9-7C25-45FA-969E-3D925C689DC4} -  No File
Toolbar: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
CHR Extension: (NetFilterPRO) - C:\Users\Люба\AppData\Local\Google\Chrome\User Data\Default\Extensions\plmlpbcjkpppncefeoongifnpinjmegf [2015-04-01]
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [clpdgmdkdnijjbgmnajolnbnjejoeogm] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [kppacdmmddediahklmcgkgdhhoojemmd] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
OPR StartupUrls: "hxxp://2knl.org/?src=hp4&subid1=feb",
         "hxxp://2knl.org/?src=hp4&subid1=feb"
OPR Extension: (NetFilterPRO) - C:\Users\Люба\AppData\Roaming\Opera Software\Opera Stable\Extensions\plmlpbcjkpppncefeoongifnpinjmegf [2015-04-01]
S1 {fe03a0d6-671a-4d18-b668-b656ba92ccf5}w; system32\drivers\{fe03a0d6-671a-4d18-b668-b656ba92ccf5}w.sys [X]
U3 afa8ttxo; No ImagePath
2015-03-25 20:39 - 2015-03-30 20:38 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-25 20:39 - 2015-03-30 20:38 - 00000000 __SHD () C:\ProgramData\Windows
2015-03-25 20:39 - 2015-03-30 20:38 - 00000000 ___HD () C:\Users\Люба\AppData\Roaming\CC114784
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

приложите лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

 

для восстановления файлов пробуйте оба варианта
http://virusinfo.info/showthread.php?t=156188
 

Ссылка на комментарий
Поделиться на другие сайты

лог AdwCleaner


 



 

 

для восстановления файлов пробуйте оба варианта
http://virusinfo.info/showthread.php?t=156188

 

Все бы было здорово... Только точек восстановления для диска с поврежденными (зашифрованными) данными нет. Как я понимаю с расшифровкой Вы не поможете?
 

AdwCleanerR0.txt

Ссылка на комментарий
Поделиться на другие сайты

 

 


Как я понимаю с расшифровкой Вы не поможете?

увы...

 

удаляйте всё найденное в AdwCleaner (можете оставить Mail.ru)

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

Ссылка на комментарий
Поделиться на другие сайты

на сайте пришло личное сообщение с предложением заключить договор на расшифровку в котором указан адрес для связи kapafr56 @ mail. ru. Скопировав адрес в строку поиска яндекса нашелся один сайт 

http://basics.proglive.ru/?utm_source=yandex-direct-none&utm_campaign=8261178&utm_content=300507682&utm_term=ru&utm_medium=cpc&rs=direct1_search_300507682_ru&yclid=5849346259108220597

 

В явном виде такого адреса на сайте не нашел, если говорите, что помочь могут только "злодеи". Нетели это самые злодеи???

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Radik_Gilmanov
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
    • Vital888
      От Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
×
×
  • Создать...