Перейти к содержанию

зашифрованы файлы в формат xbtl

pk1378
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ext\updatepl.exe','');
QuarantineFile('C:\Users\1\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\1\AppData\Local\shrhotu.dll','');
QuarantineFile('C:\Users\1\AppData\Local\Microsoft\Windows\toolbar.exe','');
QuarantineFile('c:\users\1\appdata\roaming\flash_update.exe','');
DeleteFile('C:\Users\1\AppData\Local\Microsoft\Windows\toolbar.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
DeleteFile('C:\Users\1\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\ext\updatepl.exe','32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\windows\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\windows\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\windows\system32\Tasks\APSnotifierPP3','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам

thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

thyrex

thyrex

Опубликовано
Опубликовано
c:\users\1\appdata\roaming\flash_update.exe проверьте на virustotal.com и пришлите ссылку

 

У расширения Adblock в браузерах какая версия?

 

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

HKU\S-1-5-21-3179685040-2251142065-1893839061-1003\...\Run: [shrhotu] => rundll32 "C:\Users\1\AppData\Local\shrhotu.dll",shrhotu <===== ATTENTION

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

HKU\S-1-5-21-3179685040-2251142065-1893839061-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}

HKU\S-1-5-21-3179685040-2251142065-1893839061-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na

HKU\S-1-5-21-3179685040-2251142065-1893839061-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}

SearchScopes: HKU\S-1-5-21-3179685040-2251142065-1893839061-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}

SearchScopes: HKU\S-1-5-21-3179685040-2251142065-1893839061-1003 -> {9431C0BF-5033-4ACC-BE0A-830C37B41141} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=15

OPR Extension: (YoutubeSave) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\gpfbncnkoeocopnpcacbbkdljdfhekcl [2014-06-23]

OPR Extension: (Dolka.ru) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-05-14]

S2 Update Deal Keeper; "C:\Program Files\Deal Keeper\updateDealKeeper.exe" [X]

2015-05-08 01:33 - 2015-05-08 01:33 - 3148854 _____ () C:\Users\1\AppData\Roaming\FECABCE1FECABCE1.bmp

AlternateDataStreams: C:\ProgramData\Temp:3D922890

AlternateDataStreams: C:\Users\Все пользователи\Temp:3D922890

Reboot:



  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.
thyrex

thyrex

Опубликовано
Опубликовано

 

 


c:\users\1\appdata\roaming\flash_update.exe
заархивируйте с паролем virus, выложите на rghost.ru и пришлите ссылку на скачивание мне в личные сообщения
thyrex

thyrex

Опубликовано
Опубликовано

flash_update.exe - Trojan.Win32.Delf.dyla
Детектирование файла будет добавлено в следующее обновление.

 

Удаляйте файл

 

С расшифровкой не поможем.

 

Как вариант, http://virusinfo.info/showthread.php?t=156188 (тему на Вирусинфо создавать не нужно)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • trhion3
      Зашифровали файлы в формат .elbie
      Автор trhion3
      Здравствуйте, поймали шифровальщика, файлы имеют вид "Имя_файла.Расширение.id[FCEE43BB-3398].[helprequest@techmail.info].Elbie".
      В прикрепе файлы из папки AppData\Local\Microsoft\Media Player\Sync Playlists\ru-RU\0000CA74, 0000CA74 - может иначе называться, но файлы внутри те же. Там вроде какие-то стандартные виндовые данные из проигрывателя. Оригиналы брал уже со своей системы, Windows 10 x64 и у меня и зараженная, плеером никто никогда ни там ни там не пользовались, так что думаю эти файлы не изменялись с момента установки системы ни там ни там.
      Смотрел другие темы с тегом elbie, вроде как phobos и расшифровки нет, но решил на всякий случай попробовать обратиться.
      Addition.txt FRST.txt зашифрованное.7z
    • yarkroft
      Шифровальщик с форматом файлов .Elbie
      Автор yarkroft
      Добрый день, на рабочий бухгалтерский компьютер попал вирус и зашифровал много информации. Система и некоторые приложения по типу браузера не зашифрованы и работают.
    • Slimens
      ЧП зашифровало сервера может кто подскажет что делать формат файлов JWEYZP
      Автор Slimens
      ЧП зашифровало сервера может кто подскажет что делать формат файлов JWEYZP есть расшифратор от этого или нет?
    • user2024
      Расшифровка больших файлов формата *.babuk
      Автор user2024
      Здравствуйте, поделитесь пожалуйста опытом - было заражение машин LockBit. Файлы резервных копий MS SQL Server были так же зашифрованы. Нами был получен дешифратор, но файлы размером 2 ТБ не расшифровались. Может у кого-то был опыт в расшифровке файлов такого объема? После работы дешифратора, если открыть файлы в hex редакторе то их структура не меняется (т.е. по какой-то причине дешифратор не обрабатывает файл). Может у кого-то был опыт с расшифровкой файлов такого объема?
    • Myllin
      Подозрительные файлы в формате txt android
      Автор Myllin
      Всем привет. Имею 14 андроид и недавно проверял свой андроид свободным ПО Hypatia. Так вот она обнаружила неприятный результат. В телефоне покопался не нашел подобных файлов, что порекомендуете сделать? Может ли быть это ложным срабатыванием?

      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
×
×
  • Создать...