Вирус зашифровал файлы в .xtbl

26 мая, 2015

Здравствуйте! На днях словил вирус после чего все файлы были зашифрованы в .xtbl

После заражения появился файл README, в котором было написано следующее:

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

F2004BAB577ABC77991D|116|2|2

на электронный адрес decode0987@gmail.com или decode098@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

F2004BAB577ABC77991D|116|2|2

to e-mail address decode0987@gmail.com or decode098@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Буду искренне благодарен вам за помощь

CollectionLog-2015.05.26-20.12.zip

Изменено 26 мая, 2015 пользователем olimp402

26 мая, 2015

Порядок оформления запроса о помощи

26 мая, 2015

Порядок оформления запроса о помощи

Всё, исправил, забыл логи прикрепить

26 мая, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Home\AppData\Roaming\etranslator\etranslator.exe','');
QuarantineFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','');
DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
QuarantineFile('C:\Users\Home\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Program Files (x86)\gmsd_re_231\gmsd_re_231.exe','');
SetServiceStart('BDArKit', 4);
DeleteService('BDArKit');
SetServiceStart('BDDefense', 4);
DeleteService('BDDefense');
SetServiceStart('BDMWrench_x64', 4);
DeleteService('BDMWrench_x64');
DeleteService('BAPIDRV');
DeleteService('BDFileDefend');
DeleteService('BdSandBox');
SetServiceStart('bd0003', 4);
DeleteService('bd0003');
SetServiceStart('bd0002', 4);
DeleteService('bd0002');
SetServiceStart('bd0001', 4);
DeleteService('bd0001');
SetServiceStart('BDKVRTP', 4);
DeleteService('BDKVRTP');
SetServiceStart('BaiduHips', 4);
DeleteService('BaiduHips');
TerminateProcessByName('c:\program files (x86)\baidu\baidusd\3.0.0.4605\baidusdsvc.exe');
TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduhips\1.2.0.751\baiduhips.exe');
DeleteFile('c:\program files (x86)\common files\baidu\baiduhips\1.2.0.751\baiduhips.exe','32');
DeleteFile('c:\program files (x86)\baidu\baidusd\3.0.0.4605\baidusdsvc.exe','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\ad.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavArchive.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavCommon.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavEngine.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavFrame.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavOle.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavScanH.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavScanM.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavScanV.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BAV\BavUnpack.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDLogicUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\BDKitUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\BDMAVCached.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\BDMAVEng.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\BDMPerfMon.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\bduf.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\bdmantivirus\TrustAndIso.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMAVE.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMDbSqlite.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMFrameWork.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMNet.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDMReport.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\DriverManager.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\FileMon.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\HIPSClient.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\PrivacyProtect.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\websafe\websafe.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\ad.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsBusiness.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsCore.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduPrevUIn.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDConfig.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDLogicUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVCached.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVEng.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMBase.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMFrameWork.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMNet.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMReport.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMStringUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMTinyXml.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\DriverManager.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\TrustAndIso.dll','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
DeleteFile('C:\Windows\system32\drivers\BDDefense.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDFileDefend.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDShellExt.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDShellExt64.dll','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
DeleteFile('C:\Program Files (x86)\gmsd_re_231\gmsd_re_231.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_re_231');
DeleteFile('C:\Users\Home\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Program Files (x86)\RCP\RegCleanPro.exe','32');
DeleteFile('C:\Windows\Tasks\RegClean Pro_DEFAULT.job','64');
DeleteFile('C:\Windows\Tasks\RegClean Pro_UPDATES.job','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','32');
DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
DeleteFile('C:\Windows\system32\Tasks\RegClean Pro','64');
DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_DEFAULT','64');
DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_UPDATES','64');
DeleteFile('C:\Windows\system32\Tasks\{8F5F9775-D3B0-41F9-9121-6318914DC10A}','64');
DeleteFile('C:\Users\Home\AppData\Roaming\etranslator\etranslator.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи по правилам

26 мая, 2015

KLAN-2801129386 Вредоносный код в файле не обнаружен. exe.erolpxei.bat Получен неизвестный файл, он будет передан в Вирусную Лабораторию

Сообщение от модератора Mark D. Pearlstone

Не выкладывайте quarantine.zip на форум. Файл удалён.

ClearLNK-26.05.2015_21-01.log

26 мая, 2015

Забыли

Сделайте новые логи по правилам

Войти

Вирус зашифровал файлы в .xtbl

Рекомендуемые сообщения

olimp402 0

Ссылка на сообщение

Поделиться на другие сайты

Mark D. Pearlstone 1 705

Ссылка на сообщение

Поделиться на другие сайты

olimp402 0

Ссылка на сообщение

Поделиться на другие сайты

thyrex 1 473

Ссылка на сообщение

Поделиться на другие сайты

olimp402 0

Ссылка на сообщение

Поделиться на другие сайты

thyrex 1 473

Ссылка на сообщение

Поделиться на другие сайты

Присоединяйтесь к обсуждению

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum

Войти

Вирус зашифровал файлы в .xtbl

Рекомендуемые сообщения

olimp402 0

Ссылка на сообщение

Поделиться на другие сайты

Mark D. Pearlstone 1 705

Ссылка на сообщение

Поделиться на другие сайты

olimp402 0

Ссылка на сообщение

Поделиться на другие сайты

thyrex 1 473

Ссылка на сообщение

Поделиться на другие сайты

olimp402 0

Ссылка на сообщение

Поделиться на другие сайты

thyrex 1 473

Ссылка на сообщение

Поделиться на другие сайты

Присоединяйтесь к обсуждению

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum

Mark D. Pearlstone 1 705

thyrex 1 473

thyrex 1 473