Перейти к содержанию

все файлы зашифрованы XTBL незнаю что делать


Рекомендуемые сообщения

все  файлы были  зашифрованы в виде  XTBL  что делать незнаю

CollectionLog-2015.04.17-17.00.zip

Изменено пользователем суслуверов
Ссылка на сообщение
Поделиться на другие сайты
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Users\1\appdata\roaming\x11\engine.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','64');
 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','64');
 DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
 DeleteFile('C:\Users\1\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Kinoroom Browser','64');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Users\1\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','64');
 DeleteFile('C:\Windows\system32\Tasks\{C457DCC1-34FA-481B-A1D8-830391218015}','64');
 DeleteFile('C:\Windows\system32\Tasks\{A6026B2D-23C3-48CB-AEC6-EA60A52D807B}','64');
 DeleteFile('C:\Windows\system32\Tasks\{5B890A67-0AD2-4D44-B6E5-35A51A203BA4}','64');
 DeleteFile('C:\Windows\system32\Tasks\{240B0341-E266-4145-B222-ADB1E2AAA79E}','64');
 DeleteFile('C:\Users\1\appdata\roaming\x11\engine.exe','32');
 DeleteFileMask('C:\Program Files (x86)\Common Files\{C561ED7F-35D4-472C-9213-AACA1700B8EE}\0.8', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\Common Files\{C561ED7F-35D4-472C-9213-AACA1700B8EE}\0.8');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=0f840bfc8ddd8f476a6d59832adc239c&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://gotut.ru/s/?query={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=0f840bfc8ddd8f476a6d59832adc239c&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=0f840bfc8ddd8f476a6d59832adc239c&text=
O2 - BHO: advPlugin - {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} - C:\Program Files (x86)\advPlugin\Toolbar32.dll (file missing)
O2 - BHO: VK Downloader - {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} - C:\Program Files (x86)\VK Downloader\K_l9EtqEFc.dll (file missing)
O2 - BHO: Search App by Ask BHO - {4F524A2D-5350-4500-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll" (file missing)
O2 - BHO: Shopping App by Ask BHO - {4F524A2D-5354-2D53-5045-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll" (file missing)
O3 - Toolbar: Search App by Ask - {4F524A2D-5350-4500-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll" (file missing)
O3 - Toolbar: Shopping App by Ask - {4F524A2D-5354-2D53-5045-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll" (file missing)
O4 - Global Startup: Kinоrооm Brоwsеr.lnk = C:\Program Files (x86)\Kinoroom Browser\krbrowser.bat
O4 - Global Startup: KRB Updater Utility.lnk = C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
O9 - Extra button: Currency Converter - {7CE987D5-11B3-44FC-9C3D-03069360D462} - C:\Program Files (x86)\advPlugin\Toolbar32.dll (file missing)
 
 
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Borova
      От Borova
      Прошу помощи , на виндовс 7 пк заразился трояном RenderCraft а также неправильно ведет себя утилита fc.exe , оба процесса запускаются после 30 секунд от включения пк и начинают грузить систему ( и ОЗУ и ЦП )  , RenderCraft работает пару десятков секунд ( примерно 40) и исчезает из процессов ,  а fc.exe стабильно грузит систему никуда не уходит. изначально попробовал решить проблему самостоятельно с помощью KVRT и AV BR ,  но ничего не помогло , в итоге начал искать решение в интернете , нашел только один сайт на этом же форуме где было предоставлено решение от господина Sandor . Начал делать все как в случае с Дамир 95 . 
      Но к сожелению ничего не помогло , (  строго додерживался всех инструкций  ) но без положительного результата. Ни один процес не ушел . ПРОШУ ПОМОГИТЕ !
      Все максимально подробно описать не могу ( имеется в виду мое полное исполнение действий и рекомендаций от Sandor  , не все получалось так как в писал Sandor , к примеру так не вышло если в Farbar Recovery Scan Tool я нажал кнопку исправить и в человека вышло все нормально а в меня выдало ошибку " не удается найти файл fixlist.txt " а автоматически у меня ничего не создало . если сам создам текстовый файл напишу то понятно , что там начнет исправлять и исправит пустоту , ведь там в списке ничего нет , а я не знаю что туда вводить , в итоге исправить ничего не вышло . помогите пожалуйста . 
    • quador34
      От quador34
      Сообщение от модератора mike 1 Тема перемещена из раздела Компьютерная помощь  
    • Андрей 43
      От Андрей 43
      Привет у меня компьютер при запуске видео перезагружается
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Задай вопрос Евгению Касперскому".
    • Levi
      От Levi
      Добрый день.
      Мой офисный компьютер отслеживается человеком, которому нечем заняться в своей жизни, кроме как лезть в жизнь других людей.
      Способ отслеживания (интернет или локальная сеть) мне неизвестен. Неизвестна так же и программа, по которой отслеживаются мои действия за компьютером.
      При первой проверке avz4 были выявлены вирусы, подозрительные/замаскированные файлы, файлы перехвата, которые способствовали передаче данных о моих действиях/активности за данным компьютером.
      Файлы были удалены сразу же через avz4. 
      При повторной, более расширенной проверке, таких подозрительных файлов было обнаружено в разы больше. Особенно, насторожили строки в проверке: >> Безопасность: к ПК разрешен доступ анонимного пользователя
      >> Безопасность: Разрешена отправка приглашений удаленному помощнику
      Вопросы в данной ситуации стандартные: как быть?что делать?как обрубить доступ данной программе?
      Прошу у неравнодушных дельного совета, кому так же неприятны факты слежки. Спасибо заранее.
      К теме прикрепляю лог с последней расширенной проверкой avz4.
       
       
       
      Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Протокол антивирусной утилиты AVZ версии 4.46 Сканирование запущено в 23.04.2018 12:06:33 Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37 Загружены микропрограммы эвристики: 412 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 790760 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: включено Версия Windows: 6.3.9600,  "Windows 8.1 Single Language", дата инсталляции 19.11.2014 16:45:09 ; AVZ работает с правами администратора (+) Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode  Анализ kernel32.dll, таблица экспорта найдена в секции .rdata Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A4F8E->74771960 Перехватчик kernel32.dll:ReadConsoleInputExA (1095) нейтрализован Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A4FC1->74771990 Перехватчик kernel32.dll:ReadConsoleInputExW (1096) нейтрализован  Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C840->7293B720 Перехватчик ntdll.dll:NtCreateFile (268) нейтрализован Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C560->7293B540 Перехватчик ntdll.dll:NtSetInformationFile (549) нейтрализован Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C8F0->7293C900 Перехватчик ntdll.dll:NtSetValueKey (580) нейтрализован Функция ntdll.dll:ZwCreateFile (1651) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C840->7293B720 Перехватчик ntdll.dll:ZwCreateFile (1651) нейтрализован Функция ntdll.dll:ZwSetInformationFile (1930) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C560->7293B540 Перехватчик ntdll.dll:ZwSetInformationFile (1930) нейтрализован Функция ntdll.dll:ZwSetValueKey (1961) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C8F0->7293C900 Перехватчик ntdll.dll:ZwSetValueKey (1961) нейтрализован  Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->74FF8DC0->7293B490 Перехватчик user32.dll:CallNextHookEx (1531) нейтрализован Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->75004600->72990DB0 Перехватчик user32.dll:SetWindowsHookExW (2303) нейтрализован  Анализ advapi32.dll, таблица экспорта найдена в секции .text  Анализ ws2_32.dll, таблица экспорта найдена в секции .text  Анализ wininet.dll, таблица экспорта найдена в секции .text Функция wininet.dll:InternetAlgIdToStringA (254) перехвачена, метод APICodeHijack.JmpTo[72601068]  >>> Код руткита в функции InternetAlgIdToStringA нейтрализован Функция wininet.dll:InternetAlgIdToStringW (255) перехвачена, метод APICodeHijack.JmpTo[72601170]  >>> Код руткита в функции InternetAlgIdToStringW нейтрализован  Анализ rasapi32.dll, таблица экспорта найдена в секции .text  Анализ urlmon.dll, таблица экспорта найдена в секции .text  Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов  Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти  Количество найденных процессов: 24  Количество загруженных модулей: 318 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP)  Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами  В базе 317 описаний портов  На данном ПК открыто 81 TCP портов и 35 UDP портов  Проверка завершена, подозрительные порты не обнаружены 7. Эвристичеcкая проверка системы Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помощнику Проверка завершена 9. Мастер поиска и устранения проблем  >>  Разрешен автозапуск с HDD  >>  Разрешен автозапуск с сетевых дисков  >>  Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 342, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 23.04.2018 12:07:39 Сканирование длилось 00:01:09 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ  можно использовать сервис http://virusdetector.ru/
    • Sandynist
      От Sandynist
      Добрый вечер!
       
      Давно терзает мой разум такой вопрос — а почему на нашем форуме так мало присутствует сотрудников Лаборатории Касперского?
       
      (у меня есть конспирологическая версия, которая более-менее вменяемо объясняет эту загадку, но просьба о ней никому  не рассказывать — они все панически боятся своего босса, Евгения Касперского, потому все желают отмечаться здесь как можно реже )
       
      Вот совсем недавно нам администрация огласила новые правила по начислению активностей фанатам Лаборатории. Но мы также помним, что в ДР фан-клуба принимают участие сотрудники ЛК.  Или забыли про это?
       
      А теперь вопрос — а почему тем, кто принимает участие от Лаборатории Касперского в поездках в далёкие страны не выдвинуты аналогичные требования по авктивности в делах фан-клуба?
       
      Почему сотрудники Лаборатории Касперского, отметившиеся всего лишь раз в год на форуме, а некоторые — вообще ни разу!!!, вдруг получает приглашение на ДР и участвует в нём наравне со всеми остальными участниками движения?
       
      Раньше были хоть какие-то движухи, типа — интервью с экспертами, но сейчас даже этого нет!? Эксперты — они вымерли что-ли?
       
      У меня вопрос к администрации фан-клуба и кураторам — доколе? Из более чем 3,5 тыс. сотрудников KL здесь, на форуме, кроме Е.К., Кристины и Умника мы вообще никого не увидим? 
       
      Добавил опрос в тему. Присоединяйтесь!
×
×
  • Создать...