Перейти к содержанию

файлы .xtbl

lili66
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Users\lili\AppData\Roaming\GKSWKV.exe','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\lili\AppData\Local\Yandex\browser.bat','');
 DeleteFile('C:\Program Files\MPK\mpk.exe','32');
 DeleteFile('C:\Users\lili\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-11.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-5.job','32');
 DeleteFile('C:\Windows\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Users\lili\AppData\Roaming\GKSWKV.exe','32');
 DeleteFile('C:\Windows\Tasks\GKSWKV.job','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-1-6','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-1-7','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-10_user','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-11','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-5','32');
 DeleteFile('C:\Windows\system32\Tasks\22971831-d857-4e91-b0c5-c6b81f6ca45b-5_user','32');
 DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32');
 DeleteFile('C:\Windows\system32\Tasks\GKSWKV','32');
ExecuteSysClean;
ExecuteRepair(2);
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.luckysearches.com/?type=hp&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=841fd215d26572b5284348841fbd2754&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=841fd215d26572b5284348841fbd2754&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.luckysearches.com/?type=hp&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.luckysearches.com/web/?type=ds&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.luckysearches.com/web/?type=ds&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.luckysearches.com/?type=hp&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.luckysearches.com/web/?type=ds&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.luckysearches.com/web/?type=ds&ts=1428907209&from=cmi&uid=ST3400620AS_5QH0GZFEXXXX5QH0GZFE&q={searchTerms}
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\Program Files\MPK\mpk.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Complitly - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\Users\lili\AppData\Roaming\Complitly\Complitly.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: SMTTB2009 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: (no name) - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - (no file)
O4 - HKCU\..\RunOnce: [Application Restart #2] C:\Users\lili\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --flag-switches-begin --flag-switches-end --disable-direct-npapi-requests --disable-client-side-phishing-detection --google-profile-info --simple-blur --restore-last-session -- http://land-saerch.ru
O20 - AppInit_DLLs:
 
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
    • Sgorick
      Переписанные файлы
      Автор Sgorick
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv я с помощью роликов переделал. bits существует в двух экземплярах, один из которых был bkp, но потом стал обычным.
      FRST.txt Addition.txt CollectionLog-2025.06.07-20.41.zip
    • Serhio0606
      Проверка файла
      Автор Serhio0606
      Здравствуйте, хотел скачать игру, но «Касперский» посчитал, что в файле-установщике есть вирус ( UDS:DangerousObject.Multi.Generic ). Я почитал про это в интернете и узнал, что он не всегда бывает вирусом, и чтобы проверить, можно отправить файл на форум, где специалисты вручную проверят его на наличие вирусов. Помогите, пожалуйста!
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
      Строгое предупреждение от модератора Mark D. Pearlstone На форуме запрещено размещать вредоносные и потенциально вредоносные файлы и ссылки на них.
       
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
×
×
  • Создать...