Файлы зашифрованы в XTBL

[ecioecio2]

Здравствуйте, на моем ноутбуке все файлы офиса, музыка, видео, фотографии были зашифрованы в формат XTBL. На компьютере зашифровалась только часть. Вирус просит отправить код на почту для получения дальнейших указаний. Как мне кажется, все началось после скачивания и установки игры (на оба устройства). Логи отправляю с ноутбука. Лечение ПК http://forum.kasperskyclub.ru/index.php?showtopic=47653&hl= (на всякий случай).

CollectionLog-2015.10.10-11.59.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\Анастасия\appdata\roaming\x11\a\engine.exe','');
 QuarantineFile('C:\Users\Анастасия\appdata\roaming\ssleas.exe','');
 QuarantineFile('C:\Users\Анастасия\appdata\local\temp\csrss.exe','');
 DeleteService('innfd_1_10_0_14');
 DeleteService('pirigipe');
 DeleteService('Util Edu App');
 DeleteService('Update Edu App');
 DeleteService('tyvozyno');
 DeleteService('globalUpdatem');
 DeleteService('globalUpdate');
 DeleteService('fivyzipo');
 DeleteFile('C:\Users\Анастасия\AppData\Roaming\4005A018-1433170946-DF11-871F-F743BC72758C\hnsi7B6B.tmp','32');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
 DeleteFile('C:\Users\Анастасия\AppData\Roaming\4005A018-1433170946-DF11-871F-F743BC72758C\nsx33D8.tmpfs','32');
 DeleteFile('C:\Users\Анастасия\AppData\Roaming\4005A018-1433170946-DF11-871F-F743BC72758C\jnsi62BB.tmp','32');
 DeleteFile('C:\Program Files (x86)\Edu App\updateEduApp.exe','32');
 DeleteFile('C:\Program Files (x86)\Edu App\bin\utilEduApp.exe','32');
 DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\Tasks\wuXqoO7.job','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\Анастасия\appdata\local\temp\csrss.exe','32');
 DeleteFile('C:\Users\Анастасия\appdata\roaming\ssleas.exe','32');
 DeleteFile('C:\Users\Анастасия\appdata\roaming\x11\a\engine.exe','32');
ExecuteSysClean;
RebootWindows(true);
end. 

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[ecioecio2]

KLAN-3239834188

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvp

New potentially risk software was found in this file. It's detection will be included in the next update. Thank you for your help.

ssleas.exe - Trojan.Win32.Kesels.c
csrss.exe - Trojan.Win32.Fsysna.chul

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

 

 

ClearLNK-11.10.2015_13-39.log

CollectionLog-2015.10.11-13.56.zip

AdwCleanerS1.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[ecioecio2]

Удалил все.

AdwCleanerC1.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[ecioecio2]

Отправляю логи.

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [1107183651] 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
HKU\S-1-5-21-4103514038-2010973558-455760742-1000\...\Policies\Explorer: [] 
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} ->  => No File
BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} ->  => No File
Toolbar: HKLM-x32 - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-4103514038-2010973558-455760742-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF Extension: Edu App 1.0.1 - C:\Users\Анастасия\AppData\Roaming\Mozilla\Firefox\Profiles\s7um50s2.default-1427961323503\Extensions\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}.xpi [2015-06-02]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
2015-09-12 01:28 - 2015-09-12 01:28 - 02359350 _____ C:\Users\Анастасия\AppData\Roaming\3E382AC53E382AC5.bmp
2015-09-12 00:01 - 2015-10-04 15:51 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-09-12 00:01 - 2015-10-04 15:51 - 00000000 __SHD C:\ProgramData\Windows
2015-09-11 22:56 - 2015-09-11 22:56 - 03463504 _____ C:\Windows\SysWOW64\x11modCedarglg2tc1408w256l4.bin
2015-09-11 22:43 - 2015-09-11 22:43 - 00000000 ____D C:\Users\Анастасия\AppData\Roaming\x11
2015-09-09 11:29 - 2015-09-09 11:29 - 00371216 _____ C:\Users\Анастасия\AppData\Roaming\data13.dat
2015-06-02 17:41 - 2015-06-02 17:41 - 0613255 _____ (CMI Limited) C:\Users\Анастасия\AppData\Local\nsoDEA.tmp
2015-06-02 17:44 - 2015-06-02 17:44 - 0613255 _____ (CMI Limited) C:\Users\Анастасия\AppData\Local\nsuF96A.tmp
AlternateDataStreams: C:\ProgramData\Temp:0B9176C0
AlternateDataStreams: C:\ProgramData\Temp:4D066AD2
AlternateDataStreams: C:\ProgramData\Temp:58A5270D
AlternateDataStreams: C:\ProgramData\Temp:5D7E5A8F
AlternateDataStreams: C:\ProgramData\Temp:798A3728
AlternateDataStreams: C:\ProgramData\Temp:93DE1838
AlternateDataStreams: C:\ProgramData\Temp:93EB7685
AlternateDataStreams: C:\ProgramData\Temp:A1EDB939
AlternateDataStreams: C:\ProgramData\Temp:A5C00DEE
AlternateDataStreams: C:\ProgramData\Temp:AB689DEA
AlternateDataStreams: C:\ProgramData\Temp:ABE89FFE
AlternateDataStreams: C:\ProgramData\Temp:BF14D50A
AlternateDataStreams: C:\ProgramData\Temp:E1F04E8D
AlternateDataStreams: C:\ProgramData\Temp:E36F5B57
AlternateDataStreams: C:\Users\Все пользователи\Temp:0B9176C0
AlternateDataStreams: C:\Users\Все пользователи\Temp:4D066AD2
AlternateDataStreams: C:\Users\Все пользователи\Temp:58A5270D
AlternateDataStreams: C:\Users\Все пользователи\Temp:5D7E5A8F
AlternateDataStreams: C:\Users\Все пользователи\Temp:798A3728
AlternateDataStreams: C:\Users\Все пользователи\Temp:93DE1838
AlternateDataStreams: C:\Users\Все пользователи\Temp:93EB7685
AlternateDataStreams: C:\Users\Все пользователи\Temp:A1EDB939
AlternateDataStreams: C:\Users\Все пользователи\Temp:A5C00DEE
AlternateDataStreams: C:\Users\Все пользователи\Temp:AB689DEA
AlternateDataStreams: C:\Users\Все пользователи\Temp:ABE89FFE
AlternateDataStreams: C:\Users\Все пользователи\Temp:BF14D50A
AlternateDataStreams: C:\Users\Все пользователи\Temp:E1F04E8D
AlternateDataStreams: C:\Users\Все пользователи\Temp:E36F5B57
FirewallRules: [TCP Query User{757820C7-C1D9-4B94-9870-2529B19B4ED9}C:\users\анастасия\appdata\local\temp\b357.tmp] => (Block) C:\users\анастасия\appdata\local\temp\b357.tmp
FirewallRules: [UDP Query User{9189BEB6-0F58-48BA-A796-C065BF7B8BF3}C:\users\анастасия\appdata\local\temp\b357.tmp] => (Block) C:\users\анастасия\appdata\local\temp\b357.tmp

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[ecioecio2]

Отправляю логи.

Fixlog.txt

[mike 1]

Лицензия на наш антивирус у вас есть?

[ecioecio2]

Да есть.

[mike 1]

ecioecio2

 

Для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой:

 

1. Несколько зашифрованных файлов в архиве.

2. Вложение из письма/Сам шифровальщик (желательно)

3. Номер вашей коммерческой лицензии (обязательно).

4. Файл Readme.txt