Перейти к содержанию

вирус зашифровал файлы ПК в *.XTBL

falc0n
 Share

Рекомендуемые сообщения

falc0n Новичок

falc0n

Опубликовано
Опубликовано

Вирус зашифровал файлы на компьютере, расширение у зашифрованных файлов .xtbl. На рабочем столе красная надпись предупреждающая об этом. в текстовом файле информация от злоумышленников (в прикрепленных файлах)

README1.txt

CollectionLog-2015.09.21-14.04.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
QuarantineFile('C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\Odxmics\CurlHelpLibs.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\Ijgxsoft\573C31CA.exe','');
 QuarantineFile('C:\Users\user\AppData\Roaming\bmpiwea.dll','');
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command');
 DeleteFile('C:\Users\user\AppData\Roaming\bmpiwea.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eirukaniseo','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ijgxsoft','command');
 DeleteFile('C:\Users\user\AppData\Local\Ijgxsoft\573C31CA.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odxmics','command');
 DeleteFile('C:\Users\user\AppData\Local\Odxmics\CurlHelpLibs.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uxgmmedia','command');
 DeleteFile('C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Сделайте новые логи Автологгером. 
 
Смените все пароли и если держите сайт, то смените пароли от админки.
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
falc0n Новичок

falc0n

Опубликовано
  • Автор
Опубликовано

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
QuarantineFile('C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\Odxmics\CurlHelpLibs.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\Ijgxsoft\573C31CA.exe','');
 QuarantineFile('C:\Users\user\AppData\Roaming\bmpiwea.dll','');
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command');
 DeleteFile('C:\Users\user\AppData\Roaming\bmpiwea.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eirukaniseo','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ijgxsoft','command');
 DeleteFile('C:\Users\user\AppData\Local\Ijgxsoft\573C31CA.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odxmics','command');
 DeleteFile('C:\Users\user\AppData\Local\Odxmics\CurlHelpLibs.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uxgmmedia','command');
 DeleteFile('C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Сделайте новые логи Автологгером. 
 
Смените все пароли и если держите сайт, то смените пароли от админки.
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 

 

ОТВЕТ [KLAN-3155686181]:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

 

csrss.exe

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

CollectionLog-2015.09.21-15.04.zip

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4151119076-1234736545-3848250228-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dllATTENTION! ====> ZeroAccess?
SearchScopes: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000 -> DefaultScope {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=RU&install_date=20111111&user_guid=26AF82862A864AAE8A0772B8BC30D0C1&machine_id=8f4ba5032ee5eca09046ded50a4a9e06&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source}
SearchScopes: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000 -> {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=RU&install_date=20111111&user_guid=26AF82862A864AAE8A0772B8BC30D0C1&machine_id=8f4ba5032ee5eca09046ded50a4a9e06&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source}
BHO: Search Helper -> {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} -> C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll [2009-01-14] (Microsoft Corp.)
2015-09-18 15:12 - 2015-09-18 15:12 - 03888054 _____ C:\Users\user\AppData\Roaming\6D1BACA26D1BACA2.bmp
2015-09-18 14:46 - 2015-09-21 08:35 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-09-18 14:46 - 2015-09-21 08:35 - 00000000 __SHD C:\ProgramData\Windows
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eirukaniseo]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ijgxsoft]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odxmics]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uxgmmedia]
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
falc0n Новичок

falc0n

Опубликовано
  • Автор
Опубликовано

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4151119076-1234736545-3848250228-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\user\AppData\Local\Ijgxsoft\Tdlkit4.dllATTENTION! ====> ZeroAccess?
SearchScopes: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000 -> DefaultScope {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=RU&install_date=20111111&user_guid=26AF82862A864AAE8A0772B8BC30D0C1&machine_id=8f4ba5032ee5eca09046ded50a4a9e06&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source}
SearchScopes: HKU\S-1-5-21-4151119076-1234736545-3848250228-1000 -> {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = hxxp://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=RU&install_date=20111111&user_guid=26AF82862A864AAE8A0772B8BC30D0C1&machine_id=8f4ba5032ee5eca09046ded50a4a9e06&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source}
BHO: Search Helper -> {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} -> C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll [2009-01-14] (Microsoft Corp.)
2015-09-18 15:12 - 2015-09-18 15:12 - 03888054 _____ C:\Users\user\AppData\Roaming\6D1BACA26D1BACA2.bmp
2015-09-18 14:46 - 2015-09-21 08:35 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-09-18 14:46 - 2015-09-21 08:35 - 00000000 __SHD C:\ProgramData\Windows
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eirukaniseo]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ijgxsoft]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odxmics]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uxgmmedia]
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

Доброе утро! 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Лаборатория Касперского оказывает индивидуальную помощь с этим шифровальщиком, поэтому для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой:

 

1. Несколько зашифрованных файлов в архиве.

2. Сам шифровальщик (желательно)

3. Номер вашей коммерческой лицензии (обязательно).

4. Файл Readme.txt

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
falc0n Новичок

falc0n

Опубликовано
  • Автор
Опубликовано

 

Лаборатория Касперского оказывает индивидуальную помощь с этим шифровальщиком, поэтому для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой:
 
1. Несколько зашифрованных файлов в архиве.
2. Сам шифровальщик (желательно)
3. Номер вашей коммерческой лицензии (обязательно).
4. Файл Readme.txt

 

а где шифровальщик взять?

Ссылка на комментарий
Поделиться на другие сайты
falc0n Новичок

falc0n

Опубликовано
  • Автор
Опубликовано

Он возможно уже был удален вашим антивирусом. 

ОТВЕТ[KLAN-3157689222]:

Здравствуйте,
 
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 
 
файлы.zip,
README1.txt,
лицензия.PNG
 
Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.
 
С уважением, Лаборатория Касперского
 
"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...