Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Снова Вирус XTBL

timontij
 Поделиться

Рекомендуемые сообщения

timontij

timontij

Опубликовано
Опубликовано (изменено)

Всем Здраствуйте, возникла серьезная проблема прошу оказать помощь поймал вирус, все файлы превратились с.XTBL, прикрепил логи и сам вирус, заранее буду очень благодарен.

выдает следующий текст

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
3AEE2514739F05F9EB5A|0
на электронный адрес files100001@gmail.com или files100002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
3AEE2514739F05F9EB5A|0
to e-mail address files100001@gmail.com or files100002@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2016.09.17-18.59.zip

Изменено пользователем mike 1
Карантин в теме
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Program Files (x86)\punto.bat','');
 QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
 DeleteService('globalUpdate');
 DeleteService('globalUpdatem');
 DeleteService('ReimageRealTimeProtector');
 QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 DeleteFile('C:\Program Files (x86)\punto.bat','32');
 DeleteFile('C:\Windows\Tasks\O9GbE2yozpTPI.job','32');
 DeleteFile('C:\Windows\Tasks\7EEBOyJNE.job','32');
 DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
timontij

timontij

Опубликовано
  • Автор
Опубликовано

KLAN-5033549832

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


ClearLNK by Alex Dragokas                                 ver. 2.9.0.8

OS:       x64 Windows 7 Ultimate, 6.1.7601, Service Pack: 1
Time:     17.09.2016 - 23:05
Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
Elevated: Yes
User:     Сергей    (group: Administrator). SM=SingleUserTS, PT=Workstation.

_____________________________ Начало лога ______________________________
.
[sKIP] 1  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Puntо Switсhеr.lnk"    (ярлык не найден)
[sKIP] 2  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk"    (ярлык не найден)
[sKIP] 3  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk"    (ярлык не найден)
[sKIP] 4  "C:\Users\Default\Desktop\Ярлыки\Opera.lnk"    (ярлык не найден)
[sKIP] 5  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zaxar Games Browser.lnk"    (ярлык не найден)
[sKIP] 6  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zaxar Update.lnk"    (ярлык не найден)
[sKIP] 7  "C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Wоrld of Tаnks.lnk"    (ярлык не найден)
[sKIP] 8  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld of Тanks.lnk"    (ярлык не найден)
[sKIP] 9  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Total Commander.lnk"    (ярлык не найден)
[sKIP] 10 "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Справка о программе.lnk"    (ярлык не найден)
[sKIP] 11 "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Удаление и исправление.lnk"    (ярлык не найден)
[sKIP] 12 "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Unlocker\Start Unlocker Assistant.lnk"    (ярлык не найден)
[sKIP] 13 "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Total Commander.lnk"    (ярлык не найден)
[sKIP] 14 "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Справка о программе.lnk"    (ярлык не найден)
[sKIP] 15 "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Удаление и исправление.lnk"    (ярлык не найден)
[sKIP] 16 "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Unlocker\Start Unlocker Assistant.lnk"    (ярлык не найден)
[sKIP] 17 "C:\Users\Default\Desktop\Ярлыки\Total Commander.lnk"    (ярлык не найден)
[sKIP] 18 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony\MiPony.lnk"    (ярлык не найден)
[sKIP] 19 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Realtek\ASF Client Configuration Tool\AsfClient.lnk"    (ярлык не найден)
[sKIP] 20 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Reimage Repair.lnk"    (ярлык не найден)
[sKIP] 21 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Run in safe mode.lnk"    (ярлык не найден)
[sKIP] 22 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Website.lnk"    (ярлык не найден)
[sKIP] 23 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The KMPlayer\Переустановка The KMPlayer.lnk"    (ярлык не найден)
[sKIP] 24 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total Commander\Полезные утилиты\Раздел деинсталляции.lnk"    (ярлык не найден)
.

______________________________ Статистика ______________________________
Лечение запущено: 2 раза за сегодня.

Всего обработано: 24

  Пропущено:      24
____________________________ Конец отчета ______________________________CRC32: B21984FC


Подскажите что дальше???


новые логи:

 

CollectionLog-2016.09.17-23.27.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {2D5EC3C4-C92A-4AF1-AA1E-03ED8FBCC0E8} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {92660E17-60A6-4459-8F94-3744AAA66226} - \LaunchPreSignup -> No File <==== ATTENTION
Task: {B4ACE69A-45D4-434F-AE9C-72D211308776} - \ReimageUpdater -> No File <==== ATTENTION
Task: {BA38D6A0-26D3-409E-B461-D226A9AF937A} - \SystemScript -> No File <==== ATTENTION
Task: C:\Windows\Tasks\dsmonitor.job => C:\Program Files (x86)\Uniblue\DriverScanner\dsmonitor.exe <==== ATTENTION
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-09-17 23:04 - 2015-07-18 19:44 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
2016-09-17 23:04 - 2015-02-17 19:47 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
timontij

timontij

Опубликовано
  • Автор
Опубликовано

Уважаемые модераторы и консультанты огромное Вам СПАСИБО,

ВЫ спасли все детские фотки. РЕКСПЕКТ ВАМ и УВАЖУХА!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Ссылка на комментарий
Поделиться на другие сайты
leonid666

leonid666

Опубликовано
Опубликовано

Вам поможет http://support.kaspersky.ru/13059

Добрый день!

У меня тоже вирус зашифровал файлы с расширением XTBL. Эта утилита не помогла. Что надо сделать? Подскажите пожалуйста!

post-41120-0-02938900-1474895577_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

 

Вам поможет http://support.kaspersky.ru/13059

Добрый день!

У меня тоже вирус зашифровал файлы с расширением XTBL. Эта утилита не помогла. Что надо сделать? Подскажите пожалуйста!

 

Создать свою тему для начала.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...