Перейти к содержанию

Заифрованные файлы в формате XTBL

Brtel
 Share

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','');
DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
DelBHO('{50F4150A-48B2-417A-BE4C-C83F580FB904}');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
QuarantineFile('C:\Users\Svetlana\AppData\Roaming\Browsers\exe.emorhc.bat','');
DeleteService('TSSK');
SetServiceStart('TSSysKit', 4);
DeleteService('TSSysKit');
SetServiceStart('TSKSP', 4);
DeleteService('TSKSP');
SetServiceStart('TsFltMgr', 4);
DeleteService('TsFltMgr');
SetServiceStart('TSDefenseBt', 4);
DeleteService('TSDefenseBt');
SetServiceStart('TSCPM', 4);
DeleteService('TSCPM');
SetServiceStart('TS888', 4);
DeleteService('TS888');
SetServiceStart('QQSysMon', 4);
DeleteService('QQSysMon');
SetServiceStart('TAOAccelerator', 4);
DeleteService('TAOAccelerator');
SetServiceStart('TAOKernelDriver', 4);
DeleteService('TAOKernelDriver');
SetServiceStart('TFsFlt', 4);
DeleteService('TFsFlt');
SetServiceStart('QMUdisk', 4);
DeleteService('QMUdisk');
SetServiceStart('QMIEProtect', 4);
DeleteService('QMIEProtect');
QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','');
DeleteService('WindowsMangerProtect');
DeleteService('TAOFrame');
SetServiceStart('insvc_1.10.0.14', 4);
DeleteService('insvc_1.10.0.14');
SetServiceStart('QQPCRTP', 4);
DeleteService('QQPCRTP');
SetServiceStart('IHProtect Service', 4);
DeleteService('IHProtect Service');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
QuarantineFile('C:\Program Files\XTab\SupTab.dll','');
QuarantineFile('C:\Program Files\XTab\IeWatchDog.dll','');
QuarantineFile('C:\Program Files\XTab\BrowerWatchCH.dll','');
TerminateProcessByName('c:\users\svetlana\appdata\local\smartweb\smartwebhelper.exe');
QuarantineFile('c:\users\svetlana\appdata\local\smartweb\smartwebhelper.exe','');
TerminateProcessByName('c:\users\svetlana\appdata\local\smartweb\smartwebapp.exe');
QuarantineFile('c:\users\svetlana\appdata\local\smartweb\smartwebapp.exe','');
TerminateProcessByName('d:\program files\tencent\qqpcmgr\10.10.16434.218\qqpcrtp.exe');
TerminateProcessByName('d:\program files\tencent\qqpcmgr\10.10.16434.218\qmdesktopgc.exe');
QuarantineFile('d:\program files\tencent\qqpcmgr\10.10.16434.218\qmdesktopgc.exe','');
TerminateProcessByName('c:\program files\xtab\protectservice.exe');
QuarantineFile('c:\program files\xtab\protectservice.exe','');
TerminateProcessByName('c:\users\svetlana\appdata\local\kometa\kometaup.exe');
QuarantineFile('c:\users\svetlana\appdata\local\kometa\kometaup.exe','');
TerminateProcessByName('c:\program files\xtab\hpnotify.exe');
QuarantineFile('c:\program files\xtab\hpnotify.exe','');
TerminateProcessByName('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe');
QuarantineFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','');
TerminateProcessByName('c:\program files\xtab\cmdshell.exe');
QuarantineFile('c:\program files\xtab\cmdshell.exe','');
DeleteFile('c:\program files\xtab\cmdshell.exe','32');
DeleteFile('c:\program files\crossbrowse\crossbrowse\application\crossbrowse.exe','32');
DeleteFile('c:\program files\xtab\hpnotify.exe','32');
DeleteFile('c:\users\svetlana\appdata\local\kometa\kometaup.exe','32');
DeleteFile('c:\program files\xtab\protectservice.exe','32');
DeleteFile('d:\program files\tencent\qqpcmgr\10.10.16434.218\qmdesktopgc.exe','32');
DeleteFile('d:\program files\tencent\qqpcmgr\10.10.16434.218\qqpcrtp.exe','32');
DeleteFile('c:\users\svetlana\appdata\local\smartweb\smartwebapp.exe','32');
DeleteFile('c:\users\svetlana\appdata\local\smartweb\smartwebhelper.exe','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome_child.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\chrome_elf.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\ffmpegsumo.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\libegl.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\libglesv2.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\39.6.2171.95\pdf.dll','32');
DeleteFile('C:\Program Files\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll','32');
DeleteFile('C:\Program Files\XTab\BrowerWatchCH.dll','32');
DeleteFile('C:\Program Files\XTab\IeWatchDog.dll','32');
DeleteFile('C:\Program Files\XTab\SupTab.dll','32');
DeleteFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMBDScanner.dat','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\FileSmash\QMSoftExt.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMCloudInter\QMCloudInter.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMCpm.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMHips.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMHipsEngine.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\RtpCommon.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMRepairPlugin.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\qmiemalrtpplugin\qmiemalrtpplugin.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAVProxy.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAssocScan.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\ptrate.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMCommon.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMContextScan.dll','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMContextUninstall.dll','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMIEProtect.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQSysMon.sys','32');
DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator.sys','32');
DeleteFile('C:\Windows\system32\drivers\TAOKernel.sys','32');
DeleteFile('C:\Windows\system32\Drivers\TFsFlt.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\tscpm.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\TSDefenseBt.sys','32');
DeleteFile('C:\Windows\system32\drivers\TsFltMgr.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSKsp.sys','32');
DeleteFile('D:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSSysKit.sys','32');
DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_50EC41310BEB9663E123347B71D6FB82');
DeleteFile('C:\Users\Svetlana\AppData\Roaming\Browsers\exe.emorhc.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{63332668-8CE1-445D-A5EE-25929176714E}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','QQPCTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{754DF2CE-51E8-4895-B53C-6381418B84AE}');
DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Alex2088
      помогите расшифровать файлы
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • Даниил342432
      Здравствуйте, у меня при попытки установки удаленного доступа на компьютер попал вирус, предположительно neshta и зашифровал все файлы в формат KASPER.
      От Даниил342432
      FRST.txtAddition.txt После подключения к компьютеру по RDP на компьютер попал вирус под названием NESHTA. И зашифровал почти все файлы в тип файла KASPER. Попытались удалить при помощи программы(avg_remover_neshta), но ничего не получилось.
      Дальше воспользовавшись этой ссылкой(https://forum.kasperskyclub.ru/topic/65731-pravila-oformlenija-zaprosa-o-pomoshhi/) решили написать вам.
      Virus.rar
    • skyinfire
      Куча файлов, даже фильмов, переименована в *.Bpant
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...