Принесли жесткий диск, на котором все файлы зашифрованы .xtbl

[AsterDevil]

Доброго времени суток. Недавно принесли жесткий диск, на котором почти все файлы зашифрованы .xtbl

Мой компьютер не заражен, но логи выставляю. Так же даю образец зараженного файла, судя по всему, до шифрования это была картинка в формате .jpg

Файла readme.txt на том винте не обнаружил (возможно, его и не было или же владелец винта его удалил)

 

Почему-то не дает прикрепить файлы...

 

Выставляю на свой сайт, вот ссылки на лог и образец.

 

http://olejka.at.ua/tmp/CollectionLog-2015.06.25-14.53.zip

 

http://olejka.at.ua/tmp/obrazets.zip

 

Заранее благодарен за любую помощь.

Изменено 25 июня, 2015 пользователем AsterDevil

[thyrex]

 

 

Почему-то не дает прикрепить файлы...

Кнопка Расширенный режим Вам в помощь

[AsterDevil]

В расширенном режиме тоже не дает: "Загрузка пропущена (Ошибка502)". Возможно проблема в настройках нашего прокси (какие-то порты закрыты), но тут я уж ничего не поделаю.

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\documents and settings\all users\application data\{bfabddbb-d73e-5fc5-bfab-bddbbd7376ef}\8495713935017514947b.exe','');
QuarantineFile('c:\documents and settings\all users\application data\{0eb2021e-218f-5956-0eb2-2021e2180878}\926620280461605972b.exe','');
QuarantineFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\1632041\%LOCALAPPDATA%\Host installer\0_monster.exe','');
QuarantineFile('D:\FirefoxPortable.bat','');
DeleteService('wfd_1_10_0_17');
QuarantineFile('C:\Program Files\NetPanel\IEHelper.dll','');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
DeleteFile('C:\WINDOWS\system32\drivers\wfd_1_10_0_17.sys','32');
DeleteFile('D:\FirefoxPortable.bat','32');
DeleteFile('C:\WINDOWS\Tasks\Soft installer.job','32');
DeleteFile('C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\1632041\%LOCALAPPDATA%\Host installer\0_monster.exe','32');
DeleteFile('C:\Program Files\NetPanel\IEHelper.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[AsterDevil]

Можно тупой вопрос: а что это за номер KLAN? На Касперского у меня корпоративная лицензия на EndpointSecurity 8

Изменено 25 июня, 2015 пользователем AsterDevil

[thyrex]

 

 

а что это за номер KLAN?

Придет в теме письма с ответом вирлаба

[AsterDevil]

Ответ от Касперского:

KLAN-2918640326

"Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

0_monster.exe - not-a-virus:Downloader.Win32.IObit.d

New potentially risk software was found in this file. It's detection will be included in the next update. Thank you for your help.

8495713935017514947b.exe,
926620280461605972b.exe,
FirefoxPortable.bat,
IEHelper.dll

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com""

[thyrex]

Новые логи где?