Уничтожение вирусов *.xtbl

[Алексей Байгашев]

Здравствуйте! Месяц назад принесли ноутбук мои знакомые, сказали что фотки не открываются, я посмотрел и увидел что они переименовались в формат *.xtbl проверил на вирусы, нашел примерно 5 штук, удалил. Потом почитал статью что их нельзя удалять, восстановил точку до того когда проверял на вирусы. Сейчас пишу Вам. Какие мои действия в данный момент?

README8.txt

ipc.log

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Алексей Байгашев]

Вот логи.

CollectionLog-2015.09.25-00.20.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\nyR32dSWR_.dll','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
DeleteService('comituce');
DeleteService('ClickAndMark');
TerminateProcessByName('c:\program files (x86)\torrent search\ieef\kib9aa1xvv.exe');
QuarantineFile('c:\program files (x86)\torrent search\ieef\kib9aa1xvv.exe','');
DeleteFile('c:\program files (x86)\torrent search\ieef\kib9aa1xvv.exe','32');
DeleteFile('C:\Program Files (x86)\click-n-mark Corp\ClickAndMark158.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
DeleteFile('C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Обнови Софт');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\nyR32dSWR_.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

   

  

   

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Алексей Байгашев]

KLAN-3166271323

Логи

Новые логи

ClearLNK-25.09.2015_13-36.log

CollectionLog-2015.09.25-13.50.zip

[Алексей Байгашев]

Что дальше?

[thyrex]

Что дальше?

Набраться терпения. Помощь оказывается добровольно в свободное от основных занятий время

 

Сделайте лог полного сканирования МВАМ

[Алексей Байгашев]

Логи Malwarebytes Anti-Malware. А мне лечить обнаруженные вирусы?

логи.rar

[thyrex]

Отметьте и удалите все, кроме

Malware.Packer.Gen, C:\winrar_3.42.rus\WinRAR_v3.x_Universal_Patch\winrar.3.x-universal.patch.exe,

и записей PUP.Optional.ICQToolbar

[Алексей Байгашев]

Готово

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[Алексей Байгашев]

Ничего не нашел.

Addition.txt

FRST.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
AlternateDataStreams: C:\Users\1\Local Settings:wa
AlternateDataStreams: C:\Users\1\AppData\Local:wa
AlternateDataStreams: C:\Users\1\AppData\Local\Application Data:wa
BHO-x32: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} ->  No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-3906146187-133200367-2166345374-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2015-06-02 20:02 - 2015-06-02 20:02 - 0000121 ____H () C:\Program Files (x86)\launcher.bat
2015-06-02 20:02 - 2011-04-23 06:38 - 0274784 ____H (WildTangent) C:\Program Files (x86)\lаunсhеr.bаt.exe
2015-07-07 16:38 - 2015-07-07 16:38 - 3148854 _____ () C:\Users\1\AppData\Roaming\099D7FEA099D7FEA.bmp
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.
  

[Алексей Байгашев]

Готово

[thyrex]

С расшифровкой не поможем