Снова Вирус XTBL

[timontij]

Всем Здраствуйте, возникла серьезная проблема прошу оказать помощь поймал вирус, все файлы превратились с.XTBL, прикрепил логи и сам вирус, заранее буду очень благодарен.

выдает следующий текст

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
3AEE2514739F05F9EB5A|0
на электронный адрес files100001@gmail.com или files100002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
3AEE2514739F05F9EB5A|0
to e-mail address files100001@gmail.com or files100002@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2016.09.17-18.59.zip

Изменено 17 сентября, 2016 пользователем mike 1
Карантин в теме

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Program Files (x86)\punto.bat','');
 QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
 DeleteService('globalUpdate');
 DeleteService('globalUpdatem');
 DeleteService('ReimageRealTimeProtector');
 QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 DeleteFile('C:\Program Files (x86)\punto.bat','32');
 DeleteFile('C:\Windows\Tasks\O9GbE2yozpTPI.job','32');
 DeleteFile('C:\Windows\Tasks\7EEBOyJNE.job','32');
 DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

[mike 1]

Расшифровка возможна.

[timontij]

KLAN-5033549832

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

ClearLNK by Alex Dragokas                                 ver. 2.9.0.8

OS:       x64 Windows 7 Ultimate, 6.1.7601, Service Pack: 1
Time:     17.09.2016 - 23:05
Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
Elevated: Yes
User:     Сергей    (group: Administrator). SM=SingleUserTS, PT=Workstation.

_____________________________ Начало лога ______________________________
.
[sKIP] 1  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Puntо Switсhеr.lnk"    (ярлык не найден)
[sKIP] 2  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk"    (ярлык не найден)
[sKIP] 3  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk"    (ярлык не найден)
[sKIP] 4  "C:\Users\Default\Desktop\Ярлыки\Opera.lnk"    (ярлык не найден)
[sKIP] 5  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zaxar Games Browser.lnk"    (ярлык не найден)
[sKIP] 6  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zaxar Update.lnk"    (ярлык не найден)
[sKIP] 7  "C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Wоrld of Tаnks.lnk"    (ярлык не найден)
[sKIP] 8  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld of Тanks.lnk"    (ярлык не найден)
[sKIP] 9  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Total Commander.lnk"    (ярлык не найден)
[sKIP] 10 "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Справка о программе.lnk"    (ярлык не найден)
[sKIP] 11 "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Удаление и исправление.lnk"    (ярлык не найден)
[sKIP] 12 "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Unlocker\Start Unlocker Assistant.lnk"    (ярлык не найден)
[sKIP] 13 "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Total Commander.lnk"    (ярлык не найден)
[sKIP] 14 "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Справка о программе.lnk"    (ярлык не найден)
[sKIP] 15 "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Удаление и исправление.lnk"    (ярлык не найден)
[sKIP] 16 "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Unlocker\Start Unlocker Assistant.lnk"    (ярлык не найден)
[sKIP] 17 "C:\Users\Default\Desktop\Ярлыки\Total Commander.lnk"    (ярлык не найден)
[sKIP] 18 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony\MiPony.lnk"    (ярлык не найден)
[sKIP] 19 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Realtek\ASF Client Configuration Tool\AsfClient.lnk"    (ярлык не найден)
[sKIP] 20 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Reimage Repair.lnk"    (ярлык не найден)
[sKIP] 21 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Run in safe mode.lnk"    (ярлык не найден)
[sKIP] 22 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Website.lnk"    (ярлык не найден)
[sKIP] 23 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The KMPlayer\Переустановка The KMPlayer.lnk"    (ярлык не найден)
[sKIP] 24 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total Commander\Полезные утилиты\Раздел деинсталляции.lnk"    (ярлык не найден)
.

______________________________ Статистика ______________________________
Лечение запущено: 2 раза за сегодня.

Всего обработано: 24

  Пропущено:      24
____________________________ Конец отчета ______________________________CRC32: B21984FC

Подскажите что дальше???

новые логи:

 

CollectionLog-2016.09.17-23.27.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

[timontij]

появились два отчета прилагаю

Addition.txt

FRST.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {2D5EC3C4-C92A-4AF1-AA1E-03ED8FBCC0E8} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {92660E17-60A6-4459-8F94-3744AAA66226} - \LaunchPreSignup -> No File <==== ATTENTION
Task: {B4ACE69A-45D4-434F-AE9C-72D211308776} - \ReimageUpdater -> No File <==== ATTENTION
Task: {BA38D6A0-26D3-409E-B461-D226A9AF937A} - \SystemScript -> No File <==== ATTENTION
Task: C:\Windows\Tasks\dsmonitor.job => C:\Program Files (x86)\Uniblue\DriverScanner\dsmonitor.exe <==== ATTENTION
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-09-17 23:04 - 2015-07-18 19:44 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
2016-09-17 23:04 - 2015-02-17 19:47 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[timontij]

Провел все, что дальше?

Fixlog.txt

[thyrex]

Образец шифрованного файла пришлите

[timontij]

образцы файлов:

файл

заархивировал, а то так не загружается

zSm-WKnhVdouISiQr9m1JNZG+NXjpwCASmaTa7GVcTA=.3AEE2514739F05F9EB5A.rar

[thyrex]

Вам поможет http://support.kaspersky.ru/13059

[timontij]

Уважаемые модераторы и консультанты огромное Вам СПАСИБО,

ВЫ спасли все детские фотки. РЕКСПЕКТ ВАМ и УВАЖУХА!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

[mike 1]

А теперь научитесь делать бэкапы, а то в следующий раз будете платить злодеям за свои ошибки. 

[leonid666]

Вам поможет http://support.kaspersky.ru/13059

Добрый день!

У меня тоже вирус зашифровал файлы с расширением XTBL. Эта утилита не помогла. Что надо сделать? Подскажите пожалуйста!

[mike 1]

 

Вам поможет http://support.kaspersky.ru/13059

Добрый день!

У меня тоже вирус зашифровал файлы с расширением XTBL. Эта утилита не помогла. Что надо сделать? Подскажите пожалуйста!

 

Создать свою тему для начала.