Перейти к содержанию

Снова Вирус XTBL


Рекомендуемые сообщения

Всем Здраствуйте, возникла серьезная проблема прошу оказать помощь поймал вирус, все файлы превратились с.XTBL, прикрепил логи и сам вирус, заранее буду очень благодарен.

выдает следующий текст

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
3AEE2514739F05F9EB5A|0
на электронный адрес files100001@gmail.com или files100002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
3AEE2514739F05F9EB5A|0
to e-mail address files100001@gmail.com or files100002@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2016.09.17-18.59.zip

Изменено пользователем mike 1
Карантин в теме
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Program Files (x86)\punto.bat','');
 QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
 DeleteService('globalUpdate');
 DeleteService('globalUpdatem');
 DeleteService('ReimageRealTimeProtector');
 QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
 DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 DeleteFile('C:\Program Files (x86)\punto.bat','32');
 DeleteFile('C:\Windows\Tasks\O9GbE2yozpTPI.job','32');
 DeleteFile('C:\Windows\Tasks\7EEBOyJNE.job','32');
 DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

KLAN-5033549832

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


ClearLNK by Alex Dragokas                                 ver. 2.9.0.8

OS:       x64 Windows 7 Ultimate, 6.1.7601, Service Pack: 1
Time:     17.09.2016 - 23:05
Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
Elevated: Yes
User:     Сергей    (group: Administrator). SM=SingleUserTS, PT=Workstation.

_____________________________ Начало лога ______________________________
.
[sKIP] 1  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Puntо Switсhеr.lnk"    (ярлык не найден)
[sKIP] 2  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk"    (ярлык не найден)
[sKIP] 3  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk"    (ярлык не найден)
[sKIP] 4  "C:\Users\Default\Desktop\Ярлыки\Opera.lnk"    (ярлык не найден)
[sKIP] 5  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zaxar Games Browser.lnk"    (ярлык не найден)
[sKIP] 6  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zaxar Update.lnk"    (ярлык не найден)
[sKIP] 7  "C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Wоrld of Tаnks.lnk"    (ярлык не найден)
[sKIP] 8  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld of Тanks.lnk"    (ярлык не найден)
[sKIP] 9  "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Total Commander.lnk"    (ярлык не найден)
[sKIP] 10 "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Справка о программе.lnk"    (ярлык не найден)
[sKIP] 11 "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Удаление и исправление.lnk"    (ярлык не найден)
[sKIP] 12 "C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Unlocker\Start Unlocker Assistant.lnk"    (ярлык не найден)
[sKIP] 13 "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Total Commander.lnk"    (ярлык не найден)
[sKIP] 14 "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Справка о программе.lnk"    (ярлык не найден)
[sKIP] 15 "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Total Commander\Удаление и исправление.lnk"    (ярлык не найден)
[sKIP] 16 "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Unlocker\Start Unlocker Assistant.lnk"    (ярлык не найден)
[sKIP] 17 "C:\Users\Default\Desktop\Ярлыки\Total Commander.lnk"    (ярлык не найден)
[sKIP] 18 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony\MiPony.lnk"    (ярлык не найден)
[sKIP] 19 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Realtek\ASF Client Configuration Tool\AsfClient.lnk"    (ярлык не найден)
[sKIP] 20 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Reimage Repair.lnk"    (ярлык не найден)
[sKIP] 21 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Run in safe mode.lnk"    (ярлык не найден)
[sKIP] 22 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Website.lnk"    (ярлык не найден)
[sKIP] 23 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The KMPlayer\Переустановка The KMPlayer.lnk"    (ярлык не найден)
[sKIP] 24 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total Commander\Полезные утилиты\Раздел деинсталляции.lnk"    (ярлык не найден)
.

______________________________ Статистика ______________________________
Лечение запущено: 2 раза за сегодня.

Всего обработано: 24

  Пропущено:      24
____________________________ Конец отчета ______________________________CRC32: B21984FC


Подскажите что дальше???


новые логи:

 

CollectionLog-2016.09.17-23.27.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {2D5EC3C4-C92A-4AF1-AA1E-03ED8FBCC0E8} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {92660E17-60A6-4459-8F94-3744AAA66226} - \LaunchPreSignup -> No File <==== ATTENTION
Task: {B4ACE69A-45D4-434F-AE9C-72D211308776} - \ReimageUpdater -> No File <==== ATTENTION
Task: {BA38D6A0-26D3-409E-B461-D226A9AF937A} - \SystemScript -> No File <==== ATTENTION
Task: C:\Windows\Tasks\dsmonitor.job => C:\Program Files (x86)\Uniblue\DriverScanner\dsmonitor.exe <==== ATTENTION
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-09-17 23:04 - 2015-07-18 19:44 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
2016-09-17 23:04 - 2015-02-17 19:47 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Уважаемые модераторы и консультанты огромное Вам СПАСИБО,

ВЫ спасли все детские фотки. РЕКСПЕКТ ВАМ и УВАЖУХА!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Ссылка на комментарий
Поделиться на другие сайты

Вам поможет http://support.kaspersky.ru/13059

Добрый день!

У меня тоже вирус зашифровал файлы с расширением XTBL. Эта утилита не помогла. Что надо сделать? Подскажите пожалуйста!

post-41120-0-02938900-1474895577_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

 

Вам поможет http://support.kaspersky.ru/13059

Добрый день!

У меня тоже вирус зашифровал файлы с расширением XTBL. Эта утилита не помогла. Что надо сделать? Подскажите пожалуйста!

 

Создать свою тему для начала.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • dkhilobok
      От dkhilobok
      Снова Камчатка: Долина Гейзеров с обратной стороны.

      Этим летом на Камчатке нам очень много что повезло. В том числе пройти по следам турмарштура №264, которые нас привели в Долину гейзеров.
       
      Обычно туристов водят по Долине по другой стороне ручья, мы же пришли ногами со стороны кальдеры Узон. Соответственно получилось взглянуть на ряд картинок, доступных в основном медведям.
       
      От кордона «Глухой» до Долины примерно 10-12км. Первую половину пути топать по прямой с небольшим набором высоты. Даже немного скучно Меньше, чем полтора часа в пути - и мы на перевале.
       
      В 2007г здесь сошел оползень, который засыпал большое количество гейзеров, перегородил реку дамбой и образовалось озеро.
      Потом река постепенно размыла дамбу, озеро исчезло, а вода продолжает промываться к старому руслу.
       
      Прошло время, засыпанные гейзеры и пульсирующие источники местами пробили нанесённый грунт и получились вот такие симпатичные котлы с подземным кипятком.

      Видео посмотреть на других платформах:
      https://dzen.ru/shorts/673f3f8359f0ad5be841082e?share_to=link
      https://vk.com/clip302262930_456239251
       
      v2 Долина Гейзеров.mp4
    • Svejhiy
      От Svejhiy
      Проникся чувством ностальгии и решил скачать одну игрушку, а в ней троян был
      Игрушку удалил, лечение сделал, думал дело в шляпе, но вирус возвращается снова и снова после каждой перезагрузки
      Логи прикрепил
      CollectionLog-2024.10.22-18.04.zip
    • Добрячок
      От Добрячок
      CollectionLog-2024.12.12-21.47.zip Где то видимо поймал этот троян и давно его удалил и вот он всплыл опять. Пытался удалять уже раза 4, а он каким то образом опять появляется на компьютере использовал KVRT и AutoLogger Заранее Спасибо!
    • GlibZabiv
      От GlibZabiv
      Здравствуйте, Касперский нашёл троян, который после лечения восстанавливается. Пытался бороться своими силами, ничего не вышло.
      CollectionLog-2024.10.20-18.37.zip
    • KL FC Bot
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
×
×
  • Создать...