Перейти к содержанию

Вирус шифратор файлов .xtbl


Рекомендуемые сообщения

Три дня назад когда я был на отдыхе дети заразили мой ноутбук. При возвращении сегодня обнаружил что все файлы стали зашифрованы и теперь с расширением.xtbl Заметив шифрование и экранную заставку с требованиями запустил утилиту Doctor web. 1 вирус  был удален (Trojan.PWS.Panda.8087)

, однако файлы также оказались зашифроваными. Утилиты Касперского для расшифровывания в свободном доступе не помогли. Прошу Вас помочь мне

 

CollectionLog-2015.07.22-15.20.zip

Изменено пользователем Asmodey Deathhoror
Ссылка на комментарий
Поделиться на другие сайты

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','');
QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
DeleteService('{55685567-4840-4a91-962b-49a412e9485a}w64');
DeleteService('{55685567-4840-4a91-962b-49a412e9485a}Gw64');
DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

[KLAN-2995084147] Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys

Вредоносный код в файле не обнаружен.

{55685567-4840-4a91-962b-49a412e9485a}w64.sys

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ru http://www.viruslist.ru"

 

 

CollectionLog-2015.07.22-18.38.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • godstar
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • kubanrentgen
      Автор kubanrentgen
      Утром 6.12.2022 на компьютере обнаружили зашифрованные файлы.
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов.
      Addition.txt FRST.txt Образцы.rar virus.rar
    • k3eyrun
      Автор k3eyrun
      словил очередной вирус с гитхаба по гиперссылке, перед запуском проверял файл, но ни один антивирус ничего не нашел. вирустотал говорил о том что в папке нет файлов, но меня это не смутило. при запуске файла через секунду заработал майнер, очень примитивный, при запуске диспечера задач с задержкой в секунд 10 выключался, а потом через время скрипт выключал диспетчер задач, и майнер включался снова. 
      я проверил пк через kaspersky, тот ничего не нашел, проверил через malwarebytes, он уже нашел майнер и после синего экрана его удалил, только вот по всей видимости, не полностью.
      после всего этого я хотел удалить папку, откуда и пошел вирус, но вирус сразу тормозил проводник, отключал мышку, или вообще останавливал всю систему. после этого антивирусы что то находили, но после "удаления" проблема никуда не делась, но антивирусы больше ничего не видели. 
      планировщик задач, настройки, и обновления винды тоже сломались этим трояном, корректно ничего не отображают. 
      CollectionLog-2025.08.18-16.35.zip
    • zsvnet
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
×
×
  • Создать...