вирус зашифровал файлы ПК в *.XTBL

[falc0n 0]

Вирус зашифровал файлы на компьютере, расширение у зашифрованных файлов .xtbl. На рабочем столе красная надпись предупреждающая об этом. в текстовом файле информация от злоумышленников (в прикрепленных файлах)

README1.txt

CollectionLog-2015.09.21-14.04.zip

[mike 1 1 093]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
QuarantineFile('C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\Odxmics\CurlHelpLibs.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\Ijgxsoft\573C31CA.exe','');
 QuarantineFile('C:\Users\user\AppData\Roaming\bmpiwea.dll','');
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command');
 DeleteFile('C:\Users\user\AppData\Roaming\bmpiwea.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eirukaniseo','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ijgxsoft','command');
 DeleteFile('C:\Users\user\AppData\Local\Ijgxsoft\573C31CA.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odxmics','command');
 DeleteFile('C:\Users\user\AppData\Local\Odxmics\CurlHelpLibs.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uxgmmedia','command');
 DeleteFile('C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи Автологгером. 

 

Смените все пароли и если держите сайт, то смените пароли от админки.

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[falc0n 0]

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
QuarantineFile('C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\Odxmics\CurlHelpLibs.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\Ijgxsoft\573C31CA.exe','');
 QuarantineFile('C:\Users\user\AppData\Roaming\bmpiwea.dll','');
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command');
 DeleteFile('C:\Users\user\AppData\Roaming\bmpiwea.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eirukaniseo','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ijgxsoft','command');
 DeleteFile('C:\Users\user\AppData\Local\Ijgxsoft\573C31CA.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odxmics','command');
 DeleteFile('C:\Users\user\AppData\Local\Odxmics\CurlHelpLibs.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uxgmmedia','command');
 DeleteFile('C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи Автологгером. 

 

Смените все пароли и если держите сайт, то смените пароли от админки.

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

ОТВЕТ [KLAN-3155686181]:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

 

csrss.exe

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

CollectionLog-2015.09.21-15.04.zip

Addition.txt

FRST.txt

[mike 1 1 093]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4151119076-1234736545-3848250228-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dllATTENTION! ====> ZeroAccess?
SearchScopes: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000 -> DefaultScope {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=RU&install_date=20111111&user_guid=26AF82862A864AAE8A0772B8BC30D0C1&machine_id=8f4ba5032ee5eca09046ded50a4a9e06&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source}
SearchScopes: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000 -> {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=RU&install_date=20111111&user_guid=26AF82862A864AAE8A0772B8BC30D0C1&machine_id=8f4ba5032ee5eca09046ded50a4a9e06&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source}
BHO: Search Helper -> {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} -> C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll [2009-01-14] (Microsoft Corp.)
2015-09-18 15:12 - 2015-09-18 15:12 - 03888054 _____ C:\Users\user\AppData\Roaming\6D1BACA26D1BACA2.bmp
2015-09-18 14:46 - 2015-09-21 08:35 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-09-18 14:46 - 2015-09-21 08:35 - 00000000 __SHD C:\ProgramData\Windows
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eirukaniseo]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ijgxsoft]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odxmics]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uxgmmedia]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[falc0n 0]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4151119076-1234736545-3848250228-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dllATTENTION! ====> ZeroAccess?
SearchScopes: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000 -> DefaultScope {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=RU&install_date=20111111&user_guid=26AF82862A864AAE8A0772B8BC30D0C1&machine_id=8f4ba5032ee5eca09046ded50a4a9e06&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source}
SearchScopes: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000 -> {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=RU&install_date=20111111&user_guid=26AF82862A864AAE8A0772B8BC30D0C1&machine_id=8f4ba5032ee5eca09046ded50a4a9e06&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source}
BHO: Search Helper -> {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} -> C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll [2009-01-14] (Microsoft Corp.)
2015-09-18 15:12 - 2015-09-18 15:12 - 03888054 _____ C:\Users\user\AppData\Roaming\6D1BACA26D1BACA2.bmp
2015-09-18 14:46 - 2015-09-21 08:35 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-09-18 14:46 - 2015-09-21 08:35 - 00000000 __SHD C:\ProgramData\Windows
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eirukaniseo]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ijgxsoft]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odxmics]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uxgmmedia]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

Доброе утро! 

Fixlog.txt

[mike 1 1 093]

Коммерческая лицензия на наш антивирус у вас есть?

[falc0n 0]

Коммерческая лицензия на наш антивирус у вас есть?

да, но не установлена на этом компьютере, при необходимости могу установить

[mike 1 1 093]

Лаборатория Касперского оказывает индивидуальную помощь с этим шифровальщиком, поэтому для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой:

 

1. Несколько зашифрованных файлов в архиве.

2. Сам шифровальщик (желательно)

3. Номер вашей коммерческой лицензии (обязательно).

4. Файл Readme.txt

[falc0n 0]

 

Лаборатория Касперского оказывает индивидуальную помощь с этим шифровальщиком, поэтому для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой:

 

1. Несколько зашифрованных файлов в архиве.

2. Сам шифровальщик (желательно)

3. Номер вашей коммерческой лицензии (обязательно).

4. Файл Readme.txt

 

а где шифровальщик взять?

[mike 1 1 093]

Он возможно уже был удален вашим антивирусом. 

[falc0n 0]

Он возможно уже был удален вашим антивирусом. 

ОТВЕТ[KLAN-3157689222]:

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

 

файлы.zip,

README1.txt,

лицензия.PNG

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"

[falc0n 0]

Доброе утро! Что-то не отвечаю они. Так и должно быть?

[mike 1 1 093]

Вы не один такой, а потому ожидайте ответа. 

[falc0n 0]

Все получилось. Благодарю вас за помощь!