Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Заифрованные файлы в формате XTBL

Brtel
 Поделиться

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','');
DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
DelBHO('{50F4150A-48B2-417A-BE4C-C83F580FB904}');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
QuarantineFile('C:\Users\Svetlana\AppData\Roaming\Browsers\exe.emorhc.bat','');
DeleteService('TSSK');
SetServiceStart('TSSysKit', 4);
DeleteService('TSSysKit');
SetServiceStart('TSKSP', 4);
DeleteService('TSKSP');
SetServiceStart('TsFltMgr', 4);
DeleteService('TsFltMgr');
SetServiceStart('TSDefenseBt', 4);
DeleteService('TSDefenseBt');
SetServiceStart('TSCPM', 4);
DeleteService('TSCPM');
SetServiceStart('TS888', 4);
DeleteService('TS888');
SetServiceStart('QQSysMon', 4);
DeleteService('QQSysMon');
SetServiceStart('TAOAccelerator', 4);
DeleteService('TAOAccelerator');
SetServiceStart('TAOKernelDriver', 4);
DeleteService('TAOKernelDriver');
SetServiceStart('TFsFlt', 4);
DeleteService('TFsFlt');
SetServiceStart('QMUdisk', 4);
DeleteService('QMUdisk');
SetServiceStart('QMIEProtect', 4);
DeleteService('QMIEProtect');
QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','');
DeleteService('WindowsMangerProtect');
DeleteService('TAOFrame');
SetServiceStart('insvc_1.10.0.14', 4);
DeleteService('insvc_1.10.0.14');
SetServiceStart('QQPCRTP', 4);
DeleteService('QQPCRTP');
SetServiceStart('IHProtect Service', 4);
DeleteService('IHProtect Service');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
QuarantineFile('C:\Program Files\XTab\SupTab.dll','');
QuarantineFile('C:\Program Files\XTab\IeWatchDog.dll','');
QuarantineFile('C:\Program Files\XTab\BrowerWatchCH.dll','');
TerminateProcessByName('c:\users\svetlana\appdata\local\smartweb\smartwebhelper.exe');
QuarantineFile('c:\users\svetlana\appdata\local\smartweb\smartwebhelper.exe','');
TerminateProcessByName('c:\users\svetlana\appdata\local\smartweb\smartwebapp.exe');
QuarantineFile('c:\users\svetlana\appdata\local\smartweb\smartwebapp.exe','');
TerminateProcessByName('d:\program files\tencent\qqpcmgr\10.10.16434.218\qqpcrtp.exe');
TerminateProcessByName('d:\program files\tencent\qqpcmgr\10.10.16434.218\qmdesktopgc.exe');
QuarantineFile('d:\program files\tencent\qqpcmgr\10.10.16434.218\qmdesktopgc.exe','');
TerminateProcessByName('c:\program files\xtab\protectservice.exe');
QuarantineFile('c:\program files\xtab\protectservice.exe','');
TerminateProcessByName('c:\users\svetlana\appdata\local\kometa\kometaup.exe');
QuarantineFile('c:\users\svetlana\appdata\local\kometa\kometaup.exe','');
TerminateProcessByName('c:\program files\xtab\hpnotify.exe');
QuarantineFile('c:\program files\xtab\hpnotify.exe','');
TerminateProcessByName('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe');
QuarantineFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','');
TerminateProcessByName('c:\program files\xtab\cmdshell.exe');
QuarantineFile('c:\program files\xtab\cmdshell.exe','');
DeleteFile('c:\program files\xtab\cmdshell.exe','32');
DeleteFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','32');
DeleteFile('c:\program files\xtab\hpnotify.exe','32');
DeleteFile('c:\users\svetlana\appdata\local\kometa\kometaup.exe','32');
DeleteFile('c:\program files\xtab\protectservice.exe','32');
DeleteFile('d:\program files\tencent\qqpcmgr\10.10.16434.218\qmdesktopgc.exe','32');
DeleteFile('d:\program files\tencent\qqpcmgr\10.10.16434.218\qqpcrtp.exe','32');
DeleteFile('c:\users\svetlana\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('c:\users\svetlana\appdata\local\smartweb\smartwebhelper.exe','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome_child.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome_elf.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\ffmpegsumo.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\libegl.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\libglesv2.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\pdf.dll','32');
DeleteFile('C:\Program Files\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll','32');
DeleteFile('C:\Program Files\XTab\BrowerWatchCH.dll','32');
DeleteFile('C:\Program Files\XTab\IeWatchDog.dll','32');
DeleteFile('C:\Program Files\XTab\SupTab.dll','32');
DeleteFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMBDScanner.dat','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\FileSmash\QMSoftExt.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMCloudInter\QMCloudInter.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMCpm.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMHips.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMHipsEngine.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\RtpCommon.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMRepairPlugin.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\qmiemalrtpplugin\qmiemalrtpplugin.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAVProxy.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAssocScan.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\ptrate.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMCommon.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMContextScan.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMContextUninstall.dll','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMIEProtect.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQSysMon.sys','32');
DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator.sys','32');
DeleteFile('C:\Windows\system32\drivers\TAOKernel.sys','32');
DeleteFile('C:\Windows\system32\Drivers\TFsFlt.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\tscpm.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\TSDefenseBt.sys','32');
DeleteFile('C:\Windows\system32\drivers\TsFltMgr.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSKsp.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSSysKit.sys','32');
DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_50EC41310BEB9663E123347B71D6FB82');
DeleteFile('C:\Users\Svetlana\AppData\Roaming\Browsers\exe.emorhc.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{63332668-8CE1-445D-A5EE-25929176714E}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','QQPCTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{754DF2CE-51E8-4895-B53C-6381418B84AE}');
DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Slimens
      ЧП зашифровало сервера может кто подскажет что делать формат файлов JWEYZP
      Автор Slimens
      ЧП зашифровало сервера может кто подскажет что делать формат файлов JWEYZP есть расшифратор от этого или нет?
    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
    • Serhio0606
      Проверка файла
      Автор Serhio0606
      Здравствуйте, хотел скачать игру, но «Касперский» посчитал, что в файле-установщике есть вирус ( UDS:DangerousObject.Multi.Generic ). Я почитал про это в интернете и узнал, что он не всегда бывает вирусом, и чтобы проверить, можно отправить файл на форум, где специалисты вручную проверят его на наличие вирусов. Помогите, пожалуйста!
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
      Строгое предупреждение от модератора Mark D. Pearlstone На форуме запрещено размещать вредоносные и потенциально вредоносные файлы и ссылки на них.
       
    • Sgorick
      Переписанные файлы
      Автор Sgorick
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv я с помощью роликов переделал. bits существует в двух экземплярах, один из которых был bkp, но потом стал обычным.
      FRST.txt Addition.txt CollectionLog-2025.06.07-20.41.zip
    • Бебра
      Как перенести файлы с одного диска на другой?
      Автор Бебра
      У меня есть несистемный HDD, он почти перестал работать, я попробовал перенести файлы с него на новый SSD при помощи HDD Raw Copy Tool, предварительно введя ПК в безопасный режим, но теперь многие данные на SSD повреждены и выдают «ошибка файловой системы», HDD ещё читается, но очень тормозит.
×
×
  • Создать...