falc0n 0 Опубликовано 21 сентября, 2015 Share Опубликовано 21 сентября, 2015 Вирус зашифровал файлы на компьютере, расширение у зашифрованных файлов .xtbl. На рабочем столе красная надпись предупреждающая об этом. в текстовом файле информация от злоумышленников (в прикрепленных файлах) README1.txt CollectionLog-2015.09.21-14.04.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 21 сентября, 2015 Share Опубликовано 21 сентября, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dll',''); QuarantineFile('C:\Users\user\AppData\Local\Odxmics\CurlHelpLibs.dll',''); QuarantineFile('C:\Users\user\AppData\Local\Ijgxsoft\573C31CA.exe',''); QuarantineFile('C:\Users\user\AppData\Roaming\bmpiwea.dll',''); QuarantineFile('C:\ProgramData\Drivers\csrss.exe',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); DeleteFile('C:\ProgramData\Drivers\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command'); DeleteFile('C:\Users\user\AppData\Roaming\bmpiwea.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eirukaniseo','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ijgxsoft','command'); DeleteFile('C:\Users\user\AppData\Local\Ijgxsoft\573C31CA.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odxmics','command'); DeleteFile('C:\Users\user\AppData\Local\Odxmics\CurlHelpLibs.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uxgmmedia','command'); DeleteFile('C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dll','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Автологгером. Смените все пароли и если держите сайт, то смените пароли от админки. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
falc0n 0 Опубликовано 21 сентября, 2015 Автор Share Опубликовано 21 сентября, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dll',''); QuarantineFile('C:\Users\user\AppData\Local\Odxmics\CurlHelpLibs.dll',''); QuarantineFile('C:\Users\user\AppData\Local\Ijgxsoft\573C31CA.exe',''); QuarantineFile('C:\Users\user\AppData\Roaming\bmpiwea.dll',''); QuarantineFile('C:\ProgramData\Drivers\csrss.exe',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); DeleteFile('C:\ProgramData\Drivers\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command'); DeleteFile('C:\Users\user\AppData\Roaming\bmpiwea.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eirukaniseo','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ijgxsoft','command'); DeleteFile('C:\Users\user\AppData\Local\Ijgxsoft\573C31CA.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odxmics','command'); DeleteFile('C:\Users\user\AppData\Local\Odxmics\CurlHelpLibs.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uxgmmedia','command'); DeleteFile('C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dll','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Автологгером. Смените все пароли и если держите сайт, то смените пароли от админки. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. ОТВЕТ [KLAN-3155686181]: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. csrss.exe Получен неизвестный файл, он будет передан в Вирусную Лабораторию. С уважением, Лаборатория Касперского "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" CollectionLog-2015.09.21-15.04.zip Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 21 сентября, 2015 Share Опубликовано 21 сентября, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dllATTENTION! ====> ZeroAccess? SearchScopes: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000 -> DefaultScope {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=RU&install_date=20111111&user_guid=26AF82862A864AAE8A0772B8BC30D0C1&machine_id=8f4ba5032ee5eca09046ded50a4a9e06&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source} SearchScopes: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000 -> {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=RU&install_date=20111111&user_guid=26AF82862A864AAE8A0772B8BC30D0C1&machine_id=8f4ba5032ee5eca09046ded50a4a9e06&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source} BHO: Search Helper -> {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} -> C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll [2009-01-14] (Microsoft Corp.) 2015-09-18 15:12 - 2015-09-18 15:12 - 03888054 _____ C:\Users\user\AppData\Roaming\6D1BACA26D1BACA2.bmp 2015-09-18 14:46 - 2015-09-21 08:35 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-09-18 14:46 - 2015-09-21 08:35 - 00000000 __SHD C:\ProgramData\Windows [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eirukaniseo] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ijgxsoft] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odxmics] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uxgmmedia] Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
falc0n 0 Опубликовано 22 сентября, 2015 Автор Share Опубликовано 22 сентября, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dllATTENTION! ====> ZeroAccess? SearchScopes: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000 -> DefaultScope {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=RU&install_date=20111111&user_guid=26AF82862A864AAE8A0772B8BC30D0C1&machine_id=8f4ba5032ee5eca09046ded50a4a9e06&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source} SearchScopes: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000 -> {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=RU&install_date=20111111&user_guid=26AF82862A864AAE8A0772B8BC30D0C1&machine_id=8f4ba5032ee5eca09046ded50a4a9e06&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source} BHO: Search Helper -> {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} -> C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll [2009-01-14] (Microsoft Corp.) 2015-09-18 15:12 - 2015-09-18 15:12 - 03888054 _____ C:\Users\user\AppData\Roaming\6D1BACA26D1BACA2.bmp 2015-09-18 14:46 - 2015-09-21 08:35 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-09-18 14:46 - 2015-09-21 08:35 - 00000000 __SHD C:\ProgramData\Windows [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eirukaniseo] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ijgxsoft] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odxmics] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uxgmmedia] Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Доброе утро! Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 22 сентября, 2015 Share Опубликовано 22 сентября, 2015 Коммерческая лицензия на наш антивирус у вас есть? 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
falc0n 0 Опубликовано 22 сентября, 2015 Автор Share Опубликовано 22 сентября, 2015 Коммерческая лицензия на наш антивирус у вас есть? да, но не установлена на этом компьютере, при необходимости могу установить Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 22 сентября, 2015 Share Опубликовано 22 сентября, 2015 Лаборатория Касперского оказывает индивидуальную помощь с этим шифровальщиком, поэтому для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой: 1. Несколько зашифрованных файлов в архиве. 2. Сам шифровальщик (желательно) 3. Номер вашей коммерческой лицензии (обязательно). 4. Файл Readme.txt 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
falc0n 0 Опубликовано 22 сентября, 2015 Автор Share Опубликовано 22 сентября, 2015 Лаборатория Касперского оказывает индивидуальную помощь с этим шифровальщиком, поэтому для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой: 1. Несколько зашифрованных файлов в архиве. 2. Сам шифровальщик (желательно) 3. Номер вашей коммерческой лицензии (обязательно). 4. Файл Readme.txt а где шифровальщик взять? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 22 сентября, 2015 Share Опубликовано 22 сентября, 2015 Он возможно уже был удален вашим антивирусом. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
falc0n 0 Опубликовано 22 сентября, 2015 Автор Share Опубликовано 22 сентября, 2015 Он возможно уже был удален вашим антивирусом. ОТВЕТ[KLAN-3157689222]: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. файлы.zip, README1.txt, лицензия.PNG Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию. С уважением, Лаборатория Касперского "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru" Цитата Ссылка на сообщение Поделиться на другие сайты
falc0n 0 Опубликовано 23 сентября, 2015 Автор Share Опубликовано 23 сентября, 2015 Доброе утро! Что-то не отвечаю они. Так и должно быть? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 23 сентября, 2015 Share Опубликовано 23 сентября, 2015 Вы не один такой, а потому ожидайте ответа. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
falc0n 0 Опубликовано 25 сентября, 2015 Автор Share Опубликовано 25 сентября, 2015 Все получилось. Благодарю вас за помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.