Все файлы зашифрованы - .xtbl

[SergP]

Здравствуйте, на моем компьютере все файлы офиса, музыка, видео, фотографии были зашифрованы в формат .xtbl.  Вирус просит отправить код на почту для получения дальнейших указаний. 

CollectionLog-2015.10.22-00.35.zip

README10.txt

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('????????! ????? ??????????? ??????? AVZ ????????????? ??????? ??? ??????? ???????????.' + #13#10 + '????? ???????????? ?????????? ??????????? ? ???? ????? ????????????? ? ?????????????? ??????.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('44E3143A', 4);
 SetServiceStart('461D7C4E', 4);
 SetServiceStart('46D50B23', 4);
 SetServiceStart('476D71E9', 4);
 QuarantineFile('C:\Users\Scorpion\AppData\Local\Temp\9635.tmp','');
 QuarantineFile('C:\Windows\TEMP\476D71E9.sys','');
 QuarantineFile('C:\Windows\TEMP\46D50B23.sys','');
 QuarantineFile('C:\Windows\TEMP\461D7C4E.sys','');
 QuarantineFile('C:\Windows\TEMP\44E3143A.sys','');
 QuarantineFile('C:\Users\Scorpion\AppData\Local\Adhfworks\wgjjegjx.dll','');
 DeleteFile('C:\Users\Scorpion\AppData\Local\Adhfworks\wgjjegjx.dll','32');
 DeleteFile('C:\Windows\TEMP\44E3143A.sys','32');
 DeleteFile('C:\Windows\TEMP\461D7C4E.sys','32');
 DeleteFile('C:\Windows\TEMP\46D50B23.sys','32');
 DeleteFile('C:\Windows\TEMP\476D71E9.sys','32');
 DeleteFile('C:\Users\Scorpion\AppData\Local\Temp\9635.tmp','32');
 DelBHO('8984B388-A5BB-4DF7-B274-77B879E179DB');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Icdsoft');
 DeleteService('44E3143A');
 DeleteService('461D7C4E');
 DeleteService('46D50B23');
 DeleteService('476D71E9');
 DelAutorunByFileName('C:\Users\Scorpion\AppData\Local\Temp\9635.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [userinit] C:\Users\Scorpion\AppData\Local\Temp\9635.tmp
O4 - HKCU\..\Run: [Icdsoft] C:\Windows\System32\regsvr32.exe C:\Users\Scorpion\AppData\Local\Adhfworks\wgjjegjx.dll

 

Сделайте новые логи ОБЫЧНОЙ версией автологгера по правилам (только пункт 2).

+ приложите логи FRST
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[SergP]

1. Ответ Kaspersky Virus Desk (KLAN-3278596988) следующий 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

wgjjegjx.dll

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

 

2. В Пофиксите в HijackThis  неоказалось таких строчек.

 

3. Все тестирование ниже 

CollectionLog-2015.10.22-16.39.zip

Addition.txt

FRST.txt

Изменено 22 октября, 2015 пользователем SergP

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:BF14D50A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:BF14D50A
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2394747227-1683909163-3570387779-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\Scorpion\AppData\Local\Adhfworks\wgjjegjx.dllATTENTION! ====> ZeroAccess?
Toolbar: HKU\S-1-5-21-2394747227-1683909163-3570387779-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
2015-10-19 21:20 - 2015-10-19 21:20 - 05292054 _____ C:\Users\Scorpion\AppData\Roaming\8F0685998F068599.bmp
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README9.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README8.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README7.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README6.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README5.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README4.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README3.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README2.txt
2015-10-19 21:20 - 2015-10-19 21:20 - 00000899 _____ C:\Users\Scorpion\Desktop\README10.txt
2015-10-17 00:57 - 2015-10-21 21:55 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-10-17 00:57 - 2015-10-21 21:55 - 00000000 __SHD C:\ProgramData\Windows
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

[SergP]

прикрепил к сообщению

Fixlog.txt

[Roman_Five]

чисто.

Для создания запроса на расшифровку нужна коммерческая лицензия на наш антивирус. Если у вас есть лицензия на наш антивирус, то тогда вам нужно написать письмо на newvirus@kaspersky.com. Структура вашего сообщения должна быть такой:

 

1. Несколько зашифрованных файлов в архиве.

2. Вложение из письма (желательно)

3. Номер вашей коммерческой лицензии (обязательно).

4. Файл Readme.txt

[SergP]

Благодарю!

[SergP]

Дешифратор к моей проблеме , пришлось выкупать. 

1.zip

RakhniDecryptor.1.14.0.0_20.10.2015_10.21.10_log.txt

переписка.docx