Шифрование файлов .xbtl

[sereginsv]

Добрый день.

 

В результате вирусной активности зашифровались файлы msoffice и jpg. (фото и личные документы) с переименованием в *.xtbl
Лог файла в аттаче.

 

 

Заранее спасибо.

 

PS Вероятнее всего шифрование прошло после открытия письма с Word вложением. После посмотрели кино, а после окончания просмотра было уже ку.  

CollectionLog-2015.05.14-21.47.zip

Изменено 14 мая, 2015 пользователем sereginsv

[thyrex]

Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



 QuarantineFile('C:\Users\f\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');

 QuarantineFile('C:\Users\f\AppData\Local\Yandex\browser.bat','');

 DeleteFile('C:\Users\f\AppData\Local\Yandex\browser.bat','32');

 DeleteFile('C:\Users\f\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');

 DeleteFile('C:\WINDOWS\Tasks\Digital Sites.job','64');

 DeleteFile('C:\Program Files (x86)\RCP\systweakasp.exe','32');

 DeleteFile('C:\WINDOWS\system32\Tasks\ASP','64');

 DeleteFile('C:\WINDOWS\system32\Tasks\Digital Sites','64');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

 

Сделайте новые логи по правилам

[sereginsv]

Добрый день.

 

Ответ:

 

[KLAN-2778889036] ?

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  

browser.bat

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

 

 

Повторно файл с C:\Users\f\Desktop\AutoLogger\CollectionLog-2015.05.19-20.04.zip не прекрепляется.

Файл

ClearLNK-19.05.2015_19-49.log

Изменено 19 мая, 2015 пользователем sereginsv

[thyrex]

 

 

Повторно файл с C:\Users\f\Desktop\AutoLogger\CollectionLog-2015.05.19-20.04.zip не прекрепляется.

Что пишет?

[sereginsv]

 

Повторно файл с C:\Users\f\Desktop\AutoLogger\CollectionLog-2015.05.19-20.04.zip не прекрепляется.

Что пишет?

 

Ничего, как будто скрипт загрузки не выполняется. Пробовал с двух разных компов.

Вот ссылка на onedrive. http://1drv.ms/1F06W29

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[sereginsv]

 

•  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

Ошибка запуска приложения. 0xc000007b

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[sereginsv]

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

 

Перестала работать загрузка файлов. Профиль через facebook.com создан. И был какой то глюк. Форум терял связку аккаунтов, после этого не могу грузить файлы.

Сорри но только так (ссылка на onedrive.live.com) http://1drv.ms/1EVYwry

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1399189447&from=cor&uid=HitachiXHTS541075A9E680_130109J841001VJ59H8CX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1399189447&from=cor&uid=HitachiXHTS541075A9E680_130109J841001VJ59H8CX&q={searchTerms}
HKU\S-1-5-21-529891017-314046463-7195969-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4e948e329a12fdfe3207307ce6d0a0c8&text={searchTerms}
HKU\S-1-5-21-529891017-314046463-7195969-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4e948e329a12fdfe3207307ce6d0a0c8&text={searchTerms}
SearchScopes: HKU\S-1-5-21-529891017-314046463-7195969-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4e948e329a12fdfe3207307ce6d0a0c8&text={searchTerms}
SearchScopes: HKU\S-1-5-21-529891017-314046463-7195969-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4e948e329a12fdfe3207307ce6d0a0c8&text=
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-529891017-314046463-7195969-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-529891017-314046463-7195969-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Handler: WSWSVCUchrome - No CLSID Value
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value
CHR HKLM-x32\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - No Path Or update_url value
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[sereginsv]

! Получилось прилепить файл.

Fixlog.txt

[sereginsv]

Коллеги ? будут какие то дальнейшие рекомендации ?

[thyrex]

С расшифровкой не поможем