Перейти к содержанию

Шифровальщик XTBL

berliozina
 Поделиться

Рекомендуемые сообщения

berliozina

berliozina

Опубликовано
Опубликовано

Здравствуйте. Сегодня поймал шифровальщик, который попутно убил аваст насмерть. Буду очень признателен, если поможете решить проблему.

CollectionLog-2015.09.02-20.49.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Berlioz\appdata\roaming\ssleas.exe','');
DeleteFile('C:\Users\Berlioz\appdata\roaming\ssleas.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

berliozina

berliozina

Опубликовано
  • Автор
Опубликовано

[KLAN-3102533553] "Здравствуйте, это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

ssleas.exe
Вредоносный код в файле не обнаружен"

 

CollectionLog-2015.09.02-22.23.zip

thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
2015-09-02 19:19 - 2015-09-02 19:19 - 3148854 _____ () C:\Users\Berlioz\AppData\Roaming\5AA0D31D5AA0D31D.bmp
2015-09-02 18:46 - 2015-09-02 18:46 - 0371216 _____ () C:\Users\Berlioz\AppData\Roaming\data13.dat
2015-09-02 19:19 - 2015-09-02 19:19 - 00000893 _____ C:\Users\Berlioz\Desktop\README9.txt
2015-09-02 19:19 - 2015-09-02 19:19 - 00000893 _____ C:\Users\Berlioz\Desktop\README8.txt
2015-09-02 19:19 - 2015-09-02 19:19 - 00000893 _____ C:\Users\Berlioz\Desktop\README7.txt
2015-09-02 19:19 - 2015-09-02 19:19 - 00000893 _____ C:\Users\Berlioz\Desktop\README6.txt
2015-09-02 19:19 - 2015-09-02 19:19 - 00000893 _____ C:\Users\Berlioz\Desktop\README5.txt
2015-09-02 19:19 - 2015-09-02 19:19 - 00000893 _____ C:\Users\Berlioz\Desktop\README4.txt
2015-09-02 19:19 - 2015-09-02 19:19 - 00000893 _____ C:\Users\Berlioz\Desktop\README3.txt
2015-09-02 19:19 - 2015-09-02 19:19 - 00000893 _____ C:\Users\Berlioz\Desktop\README2.txt
2015-09-02 19:19 - 2015-09-02 19:19 - 00000893 _____ C:\Users\Berlioz\Desktop\README10.txt
2015-09-02 18:46 - 2015-09-02 19:33 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-09-02 18:46 - 2015-09-02 19:33 - 00000000 __SHD C:\ProgramData\Windows
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1375131350-1177909200-154771002-1000 -> No Name - {B00F0597-B7BC-4560-8D36-04CAA124D2BF} -  No File
Toolbar: HKU\S-1-5-21-1375131350-1177909200-154771002-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
HKU\S-1-5-21-1375131350-1177909200-154771002-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={FC26C303-C41C-4B39-AF37-AD3DB1A17619}&i=
HKU\S-1-5-21-1375131350-1177909200-154771002-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={FC26C303-C41C-4B39-AF37-AD3DB1A17619}&i=
SearchScopes: HKU\S-1-5-21-1375131350-1177909200-154771002-1000 -> {C82ED4BC-D030-4756-B45E-A179E86D59F2} URL = hxxp://search.eshield.com/serp?guid={FC26C303-C41C-4B39-AF37-AD3DB1A17619}&action=default_search&k={searchTerms}
SearchScopes: HKU\S-1-5-21-1375131350-1177909200-154771002-1000 -> {EAB3856C-9E5F-433A-A053-572440EF323A} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11467
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

thyrex

thyrex

Опубликовано
Опубликовано

Если бы были точки восстановления на момент до шифрования, то шанс был бы

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Dimaszveg
      расшифровка_файлов_xtbl
      Автор Dimaszveg
      Добрый_день
      Просьба_помочь_с_расшифровкой_файлов,_если_возможно.
      Файлов_очень_много,_прилагаю_пару.
       
      CollectionLog-2017.01.04-22.19.zip
      VirtualStore.rar
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
×
×
  • Создать...