Тот же шифровальщик!

[Chadaev69]

Здравствуйте! Помогите справиться с шифровальщиком. Ничем не могу его отловить, шифрует и на компьютере файлы и в облаках и блокирует работу некоторых программ, например браузера Яндекс. Расширение все то же XTBL. Присланый Readme прикрепил.

Зарание спасибо!

Андрей.

 

CollectionLog-2015.06.07-13.45.zip

CollectionLog-2015.06.07-18.05.zip

Изменено 7 июня, 2015 пользователем Chadaev69

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Наталья\AppData\Roaming\EAE6536D\bin.exe','');
DeleteFile('C:\Users\Наталья\AppData\Roaming\EAE6536D\bin.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','EAE6536D');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[Chadaev69]

Где найти код??? Откуда его копируют?

[thyrex]

В сообщении №2 есть коды скриптов

[Chadaev69]

Ничего не изменилось.

[thyrex]

А кто-то говорил об изменениях?

 

Новые логи где?

[Chadaev69]

Как их прикрепить?

Отправил:   newvirus@kaspersky.com

И к сообщению прикрепил.

[thyrex]

По указанному адресу я просил отправить карантин, а логи прикрепляют к сообщению

[Chadaev69]

KLAN-2843008272

 

дравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

avz_log.txt,
Check_Browsers_LNK.log,
info.txt,
log.txt,
avz_sysinfo.htm,
avz_sysinfo.xml,
report1.log,
report2.log,
Screenshot_1.png,
Screenshot_2.png

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

KLAN-2843065314

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

bin.exe,
BitrixShellExt.dll,
saHook.dll,
TS_22FA.tmp

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
 

[thyrex]

Ждем новые логи

[Chadaev69]

Я вроде все отправил, если нет уточните пожалуйста, какие и откуда?

[thyrex]

Давно написал

 

 

логи прикрепляют к сообщению

[Chadaev69]

Я же все прикреплял. Какие еще логи нужно прикреплять, извините за тупость, я в другой области работаю.

Это тут?

 

 CollectionLog-2015.06.07-18.05.zip

 

Может имеется ввиду этот лог файл?

 

RectorDecryptor.2.6.34.0_07.06.2015_12.32.08_log.txt

Изменено 7 июня, 2015 пользователем Chadaev69

[thyrex]

Папку C:\Users\Наталья\AppData\Roaming\EAE6536D удалите 

 

С расшифровкой не поможем.

 

Как вариант, http://virusinfo.info/showthread.php?t=156188  (тему на Вирусинфо создавать не нужно)

[Chadaev69]

Понятно, а сам шифровальщик как удалить или остановит, что бы дальше не распространялось шифрование или это и есть он:

Папку C:\Users\Наталья\AppData\Roaming\EAE6536D удалите?