вирус шифровальщик XTBL

[khrm]

Файлы диска D компьютера зашифровал вирус.

CollectionLog-2015.03.31-13.28.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\system32\flashplayerupdateservice.exe','');
QuarantineFile('C:\Program Files\browsemark\bin\utilbrowsemark.exe','');
QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
SetServiceStart('{f4af1644-0425-4875-acd7-e31b7a10de1c}w', 4);
DeleteService('{f4af1644-0425-4875-acd7-e31b7a10de1c}w');
SetServiceStart('{f3b1ce6e-966f-4e02-9823-a536326d2dfc}w', 4);
DeleteService('{f3b1ce6e-966f-4e02-9823-a536326d2dfc}w');
SetServiceStart('{e4eb0160-6f7a-4315-bf31-c6485f7c9293}w', 4);
DeleteService('{e4eb0160-6f7a-4315-bf31-c6485f7c9293}w');
SetServiceStart('{d10d8391-a983-41c7-a2e0-9d9dc74b9859}w', 4);
DeleteService('{d10d8391-a983-41c7-a2e0-9d9dc74b9859}w');
SetServiceStart('{b99c8534-7800-48fa-bd71-519a46cdc7e1}w', 4);
DeleteService('{b99c8534-7800-48fa-bd71-519a46cdc7e1}w');
SetServiceStart('{b12062b1-c716-4bf0-812d-5a4d0f9c82d8}w', 4);
DeleteService('{b12062b1-c716-4bf0-812d-5a4d0f9c82d8}w');
SetServiceStart('{90b6a102-782f-4c36-a3a9-17de29ea9425}w', 4);
DeleteService('{90b6a102-782f-4c36-a3a9-17de29ea9425}w');
SetServiceStart('{81ebcbab-ce3d-4c4e-a5e7-682277238287}w', 4);
DeleteService('{81ebcbab-ce3d-4c4e-a5e7-682277238287}w');
SetServiceStart('{6a47960c-60ce-4d4d-aaa3-049fd1818a2f}w', 4);
DeleteService('{6a47960c-60ce-4d4d-aaa3-049fd1818a2f}w');
SetServiceStart('{57a6da14-0e15-452f-906a-c4b85df59775}w', 4);
DeleteService('{57a6da14-0e15-452f-906a-c4b85df59775}w');
SetServiceStart('{53ae7c5b-0e52-4196-9a9d-2c51b013ff96}w', 4);
DeleteService('{53ae7c5b-0e52-4196-9a9d-2c51b013ff96}w');
SetServiceStart('{3a56cc9b-f9ad-42fd-ac1b-fc5ebd3db97d}w', 4);
DeleteService('{3a56cc9b-f9ad-42fd-ac1b-fc5ebd3db97d}w');
SetServiceStart('{2deec1ea-1f1e-4323-98ec-9519ce101482}w', 4);
DeleteService('{2deec1ea-1f1e-4323-98ec-9519ce101482}w');
SetServiceStart('{2bcba3cd-3f79-4713-80cf-d88d8503ce2c}w', 4);
DeleteService('{2bcba3cd-3f79-4713-80cf-d88d8503ce2c}w');
SetServiceStart('{26e7a941-8230-485f-9c8f-bbb52122397d}w', 4);
DeleteService('{26e7a941-8230-485f-9c8f-bbb52122397d}w');
SetServiceStart('{1d80e5b5-4071-4723-b69d-7303dd29b08f}w', 4);
DeleteService('{1d80e5b5-4071-4723-b69d-7303dd29b08f}w');
QuarantineFile('C:\Windows\system32\drivers\{fe03a0d6-671a-4d18-b668-b656ba92ccf5}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{f4af1644-0425-4875-acd7-e31b7a10de1c}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{f3b1ce6e-966f-4e02-9823-a536326d2dfc}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{e4eb0160-6f7a-4315-bf31-c6485f7c9293}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{d10d8391-a983-41c7-a2e0-9d9dc74b9859}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{b12062b1-c716-4bf0-812d-5a4d0f9c82d8}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{90b6a102-782f-4c36-a3a9-17de29ea9425}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{81ebcbab-ce3d-4c4e-a5e7-682277238287}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{6a47960c-60ce-4d4d-aaa3-049fd1818a2f}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{57a6da14-0e15-452f-906a-c4b85df59775}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{53ae7c5b-0e52-4196-9a9d-2c51b013ff96}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{3a56cc9b-f9ad-42fd-ac1b-fc5ebd3db97d}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{2deec1ea-1f1e-4323-98ec-9519ce101482}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{2bcba3cd-3f79-4713-80cf-d88d8503ce2c}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{26e7a941-8230-485f-9c8f-bbb52122397d}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{1d80e5b5-4071-4723-b69d-7303dd29b08f}w.sys','');
DeleteFile('C:\Windows\system32\drivers\{1d80e5b5-4071-4723-b69d-7303dd29b08f}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{26e7a941-8230-485f-9c8f-bbb52122397d}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{2bcba3cd-3f79-4713-80cf-d88d8503ce2c}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{2deec1ea-1f1e-4323-98ec-9519ce101482}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{3a56cc9b-f9ad-42fd-ac1b-fc5ebd3db97d}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{53ae7c5b-0e52-4196-9a9d-2c51b013ff96}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{57a6da14-0e15-452f-906a-c4b85df59775}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{6a47960c-60ce-4d4d-aaa3-049fd1818a2f}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{81ebcbab-ce3d-4c4e-a5e7-682277238287}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{90b6a102-782f-4c36-a3a9-17de29ea9425}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{b12062b1-c716-4bf0-812d-5a4d0f9c82d8}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{d10d8391-a983-41c7-a2e0-9d9dc74b9859}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{e4eb0160-6f7a-4315-bf31-c6485f7c9293}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{f3b1ce6e-966f-4e02-9823-a536326d2dfc}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{f4af1644-0425-4875-acd7-e31b7a10de1c}w.sys','32');
DeleteFile('C:\Windows\system32\drivers\{fe03a0d6-671a-4d18-b668-b656ba92ccf5}w.sys','32');
DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','32');
DeleteFile('C:\Program Files\browsemark\bin\utilbrowsemark.exe','32');
DeleteFile('C:\Windows\system32\flashplayerupdateservice.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[khrm]

VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2640412495

[Roman_Five]

 

 

Сделайте новые логи по правилам

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[khrm]

новый лог-файл (несоответствие времени создания файла и отправления из-за не переведенных часов)

CollectionLog-2015.04.01-18.40.zip

Изменено 1 апреля, 2015 пользователем khrm

[Roman_Five]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

Покажите содержимое файла

C:\Windows\system32\rmAds.bat

Приложите логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[khrm]

лог файл

файл rmAds.bat пустой. по поиску на диске С есть еще один файл с таким же именем С:\program files\Microsoft Data), он тоже пустой 

логи FRS

ClearLNK-02.04.2015_11-07.log

Addition.txt

FRST.txt

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
Task: {511DE3B7-7513-4488-852D-64B9718D5E44} - \Adobe Flash Player Updater No Task File <==== ATTENTION
Task: {54216CEA-42B8-45B1-9D70-00C1E287AC95} - \AdobeFlashPlayerUpdate 2 No Task File <==== ATTENTION
Task: {6081B36C-01E4-4DB1-B36E-A624D0BE76DA} - \chrome5_logon No Task File <==== ATTENTION
Task: {6572B94C-351F-4B0A-B6F6-327C7EE41033} - \chrome5 No Task File <==== ATTENTION
Task: {E5121430-C23E-40E5-B6D0-E725EEABA03A} - \AdobeFlashPlayerUpdate No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B
HKU\S-1-5-21-3448142066-3204368936-1927973544-1001\...\Run: [amigo] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3448142066-3204368936-1927973544-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3448142066-3204368936-1927973544-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=76e2f93710eb924c529b777724fbc0e9&text={searchTerms}
HKU\S-1-5-21-3448142066-3204368936-1927973544-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=76e2f93710eb924c529b777724fbc0e9&text={searchTerms}
URLSearchHook: HKLM - (No Name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} -  No File
SearchScopes: HKLM -> DefaultScope {95289393-33EA-4F8D-B952-483415B9C955} URL = http://search.qip.ru/?query={searchTerms}
SearchScopes: HKLM -> {95289393-33EA-4F8D-B952-483415B9C955} URL = http://search.qip.ru/?query={searchTerms}
SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
SearchScopes: HKU\.DEFAULT -> DefaultScope {95289393-33EA-4F8D-B952-483415B9C955} URL = http://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\.DEFAULT -> {95289393-33EA-4F8D-B952-483415B9C955} URL = http://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=76e2f93710eb924c529b777724fbc0e9&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&affID=121562&babsrc=SP_ss&mntrId=AE590024D267930F
SearchScopes: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> {5AD3941B-4064-461F-9F73-72083CF5B448} URL = http://rts.dsrlte.com/?q={searchTerms}&r=867
SearchScopes: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> {A1568C5D-ECDD-4E2B-B7AD-CDED1AEE138D} URL = http://www.ant.com/search?s=browser&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> {B8357782-AB43-42DE-B2FB-5C78D8DF3C2F} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933
SearchScopes: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> {DDD4A657-F40D-4401-96D2-FD167BD32EFF} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
BHO: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\.DEFAULT -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {1392B8D2-5C05-419F-A8F6-B9F15A596612} -  No File
Toolbar: HKU\.DEFAULT -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\.DEFAULT -> No Name - {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> No Name - {468CD8A9-7C25-45FA-969E-3D925C689DC4} -  No File
Toolbar: HKU\S-1-5-21-3448142066-3204368936-1927973544-1001 -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File
CHR Extension: (NetFilterPRO) - C:\Users\Люба\AppData\Local\Google\Chrome\User Data\Default\Extensions\plmlpbcjkpppncefeoongifnpinjmegf [2015-04-01]
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cegdomhocaeoedbdpfolmgjkjaijfomo] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [clpdgmdkdnijjbgmnajolnbnjejoeogm] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [kppacdmmddediahklmcgkgdhhoojemmd] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
OPR StartupUrls: "hxxp://2knl.org/?src=hp4&subid1=feb",
         "hxxp://2knl.org/?src=hp4&subid1=feb"
OPR Extension: (NetFilterPRO) - C:\Users\Люба\AppData\Roaming\Opera Software\Opera Stable\Extensions\plmlpbcjkpppncefeoongifnpinjmegf [2015-04-01]
S1 {fe03a0d6-671a-4d18-b668-b656ba92ccf5}w; system32\drivers\{fe03a0d6-671a-4d18-b668-b656ba92ccf5}w.sys [X]
U3 afa8ttxo; No ImagePath
2015-03-25 20:39 - 2015-03-30 20:38 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-25 20:39 - 2015-03-30 20:38 - 00000000 __SHD () C:\ProgramData\Windows
2015-03-25 20:39 - 2015-03-30 20:38 - 00000000 ___HD () C:\Users\Люба\AppData\Roaming\CC114784
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

[khrm]

Сообщение от модератора Roman_Five

Не цитируйте полностью рекомендации.

Fixlog.txt

[Roman_Five]

приложите лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

 

для восстановления файлов пробуйте оба варианта
http://virusinfo.info/showthread.php?t=156188
 

[khrm]

лог AdwCleaner

 

 

 

для восстановления файлов пробуйте оба варианта
http://virusinfo.info/showthread.php?t=156188

 

Все бы было здорово... Только точек восстановления для диска с поврежденными (зашифрованными) данными нет. Как я понимаю с расшифровкой Вы не поможете?
 

AdwCleanerR0.txt

[Roman_Five]

 

 

Как я понимаю с расшифровкой Вы не поможете?

увы...

 

удаляйте всё найденное в AdwCleaner (можете оставить Mail.ru)

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

[khrm]

А есть случаи кому удалось раскодировать? Вы о таких слышали? 

[thyrex]

С этим шифровальщиком помогут только злодеи

[khrm]

на сайте пришло личное сообщение с предложением заключить договор на расшифровку в котором указан адрес для связи kapafr56 @ mail. ru. Скопировав адрес в строку поиска яндекса нашелся один сайт 

http://basics.proglive.ru/?utm_source=yandex-direct-none&utm_campaign=8261178&utm_content=300507682&utm_term=ru&utm_medium=cpc&rs=direct1_search_300507682_ru&yclid=5849346259108220597

 

В явном виде такого адреса на сайте не нашел, если говорите, что помочь могут только "злодеи". Нетели это самые злодеи???