Перейти к содержанию

Рекомендуемые сообщения

Аллександр Нотыч
Опубликовано (изменено)

Одновременно в папке

 

C:\Documents and Settings\All Users\Application Data\Windows\

 

появился файл

прекрепляю

может комуто поможет разобратся с проблемой

Изменено пользователем mike 1
Карантин в теме.
Аллександр Нотыч
Опубликовано

Виполнил рекомендаци
 
+ подозрительний файл
 
 
Фаилы начинают шифроватся с корневого каталога диска С

 

Сообщение от модератора Mark D. Pearlstone
Не прикрепляйте то, что вас не просят. Файл удалён.

файл появился перед процесом шифрования
Извените за повторение

CollectionLog-2015.05.05-20.51.zip

Опубликовано
Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Program Files\free games 111\scripthost.dll','');
 QuarantineFile('C:\Program Files\Google\chrome.bat','');
 SetServiceStart('BDMWrench', 4);
 DeleteService('BDMWrench');
 SetServiceStart('BDEnhanceBoost', 4);
 DeleteService('BDEnhanceBoost');
 SetServiceStart('BDArKit', 4);
 DeleteService('BDArKit');
 SetServiceStart('bd0003', 4);
 DeleteService('bd0003');
 SetServiceStart('bd0002', 4);
 DeleteService('bd0002');
 SetServiceStart('bd0001', 4);
 DeleteService('bd0001');
 DeleteFile('C:\windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\bd0003.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\BDEnhanceBoost.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\BDMWrench.sys','32');
 DeleteFile('C:\Program Files\Google\chrome.bat','32');
 DeleteFile('C:\Program Files\free games 111\scripthost.dll','32');

 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 


Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)


 

Пофиксите в HiJack




R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?im
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3098137d5e85835954deebb46421ce17&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3098137d5e85835954deebb46421ce17&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchoholic.info/?pid=21069&r=2014/12/16&hid=9761769351719698145&lg=EN&cc=UA&unqvl=72
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3098137d5e85835954deebb46421ce17&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3098137d5e85835954deebb46421ce17&text=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:10581
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3098137d5e85835954deebb46421ce17&text=



Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.


 



 

 

Сделайте новые логи по правилам
  • 2 недели спустя...
Аллександр Нотыч
Опубликовано (изменено)

Від: newvirus@kaspersky.com Кому:  Тема:

Re: (Без теми) [KLAN-2773445816]

Дата: 17 травня 2015, 22:15:01 Розмір: 4К

Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.   scripthost.dllAn unknown file has been received. It will be sent to the Virus Lab.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"--------------------------------------------------------------------------------From: Sent: 5/17/2015 7:11:21 PMTo: newvirus@kaspersky.comSubject: (Без теми)

 


/


/

ClearLNK-17.05.2015_22-25.log

ClearLNK-17.05.2015_22-25.log

CollectionLog-2015.05.17-22.39.zip

Изменено пользователем mike 1
Почта скрыта
Опубликовано

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • EnergoPartner
      Автор EnergoPartner
      Добрый день.
       
      После запуска вложений из письма были шифрованы файлы в расширение XTBL.
      В каждой папке появился файл readme.txt.
      Возможно ли их расшифровать?
       
      Файл логов прилагается.
       
      CollectionLog-2015.11.09-15.36.zip
    • bnmuser
      Автор bnmuser
      После действия вируса все пользовательские файлы зашифровались с разрешением XTBL
      Можно ли их расшифровать.
      Спасибо.
    • SCHILL
      Автор SCHILL
      Здравствуйте, 05.11.2015 поймал такой-же вирус, присланный на почту, имею лицензию Касперский интернет секьюрити. Вируса в компе нет. Есть дешифратор для данного вируса?
    • aerihov
      Автор aerihov
      Все фото зашифрованы... может вы что подскажите
      CollectionLog-2015.11.05-02.57.zip
    • vicnh
      Автор vicnh
      Доброго времени суток

      Все файлы зашифрованы с расширением xtbl.

      Касперский для Windows Workstation (корпоративная версия, лицензия) вируов не обнаружил.

      Kaspersky VRT нашел cnxExt.dll.

      Я нашел в реестре в ключе пользователя Run подозрительный файл

      "C:\ProgramData\Windows\csrss___1.exe" (добавил к названию ___1 чтоб не запускался).

      Этот файл сидит в папках (см. скрин во вложении)

      Нужна Ваша помощь в расшифровке и защите ПК сети. Лог AVZ на скрепке

      Спасибо
      CollectionLog-2015.10.15-21.42.zip
      report1.log
      report2.log
×
×
  • Создать...