зашифровано XTBL

[leonid666]

Добрый день!

 

поймал вирус зашифровавший все файлы расширением XTBL и на рабочем столе несколько текстовых файлов README

CollectionLog-2016.09.26-21.01.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Леонид\AppData\Local\Microsoft\Windows\toolbar.exe','');
 QuarantineFile('C:\Users\Леонид\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 QuarantineFile('C:\Users\A26A~1\AppData\Roaming\VOOUPD~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe','');
 QuarantineFile('C:\Users\Леонид\AppData\Local\Microsoft\Extensions\safebrowser.bat','');
 QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','');
 QuarantineFile('C:\Windows\win.vbs','');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
 DeleteService('ccnfd_1_10_0_5');
 DeleteFile('C:\Windows\system32\drivers\ccnfd_1_10_0_5.sys','32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Windows\win.vbs','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wscript.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','32');
 DeleteFile('C:\Users\Леонид\AppData\Local\Microsoft\Extensions\safebrowser.bat','32');
 DeleteFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Users\A26A~1\AppData\Roaming\VOOUPD~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Voo Update.job','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
 DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','32');
 DeleteFile('C:\Users\Леонид\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Users\Леонид\AppData\Local\Microsoft\Windows\toolbar.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Voo Update','32');
 DeleteFile('C:\Windows\system32\Tasks\SystemScript','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

[leonid666]

 

 

OS:       x32 Windows 7 Ultimate, 6.1.7601, Service Pack: 1

Time:     05.10.2016 - 16:02

Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)

Elevated: Yes

User:     Леонид (group: Administrator). SM=SingleUserTS, PT=Workstation.

 

_____________________________ Начало лога ______________________________

.

[ OK ] 1  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk"    -> [ "C:\Program Files\Google\Chrome\Application\chrome.exe" ]   (Метод RN-S)   (ОК)

[ OK ] 4  "C:\Users\Леонид\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"    -> [ "C:\Program Files\Internet Explorer\iexplore.exe" ]   (Метод RN-S)   (ОК)

[ OK ] 5  "c:\Users\Леонид\AppData\Roaming\microsoft\internet explorer\quick launch\user pinned\TaskBar\Internet Explorer.LNK"    -> [ "C:\Program Files\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)

[ OK ] 6  "c:\Users\Леонид\AppData\Roaming\microsoft\internet explorer\quick launch\Internet Explorer.LNK"    -> [ "C:\Program Files\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)

[ OK ] 7  "c:\Users\Леонид\AppData\Roaming\microsoft\Windows\start menu\Programs\Internet Explorer.LNK"    -> [ "C:\Program Files\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)

[ OK ] 8  "c:\Users\Леонид\AppData\Roaming\microsoft\Windows\start menu\Programs\accessories\system tools\Internet Explorer (No Add-ons).LNK"    -> [ "C:\Program Files\Internet Explorer\iexplore.exe" -extoff ]   (Метод R5-A2)   (ОК)

[ OK ] 16 "C:\Users\Леонид\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sаfеbrоwsеr.lnk"    -> [ "C:\Users\Леонид\AppData\Local\Microsoft\Extensions\safebrowser.exe" ]   (Метод R4.2-S)   (ОК)

.

[DEL ] 2  "C:\Users\Леонид\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk"    (уже существует под именем: Opera.LNK)

[DEL ] 9  "C:\Users\Леонид\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk"    (уже существует под именем: Internet Explorer (No Add-ons).LNK)

[DEL ] 12 "c:\programdata\microsoft\windows\start menu\programs\Opera.LNK"    (цель не восстановлена)

[DEL ] 13 "C:\Users\Леонид\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Kinoroom Browser.lnk"    (цель не восстановлена)

[DEL ] 14 "C:\Users\Леонид\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zaxar Games Browser.lnk"    (цель не восстановлена)

[DEL ] 15 "C:\Users\Леонид\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zaxar Update.lnk"    (цель не восстановлена)

[DEL ] 17 "C:\Users\Леонид\AppData\Local\Microsoft\Windows\GameExplorer\{252506D0-51BE-4835-9AE4-F7C459093923}\PlayTasks\0\Играть.lnk"    (цель не восстановлена)

[DEL ] 18 "C:\Users\Леонид\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Bandicam.lnk"    (цель не восстановлена)

[DEL ] 19 "C:\Users\Леонид\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Call of Duty - MW2 (Sherkan M3) (Game).lnk"    (цель не восстановлена)

[DEL ] 20 "C:\Users\Леонид\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Call of Duty - MW2 (Sherkan M3) (Launcher).lnk"    (цель не восстановлена)

[DEL ] 21 "C:\Users\Леонид\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\1-click run\Road Redemption v0.002\Road Redemption.lnk"    (цель не восстановлена)

[DEL ] 22 "C:\Users\Леонид\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage\Configure.lnk"    (цель не восстановлена)

[DEL ] 23 "C:\Users\Леонид\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk"    (цель не восстановлена)

[DEL ] 24 "C:\Users\Леонид\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk"    (цель не восстановлена)

[DEL ] 25 "C:\Users\Леонид\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk"    (цель не восстановлена)

[DEL ] 26 "C:\Users\Леонид\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk"    (цель не восстановлена)

[DEL ] 27 "C:\Users\Леонид\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk"    (цель не восстановлена)

[DEL ] 28 "C:\Users\Леонид\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk"    (цель не восстановлена)

[DEL ] 29 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rogue Legacy.lnk"    (цель не восстановлена)

[DEL ] 30 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Burnout Paradise\Руководство пользователя\ReadMe.lnk"    (цель не восстановлена)

[DEL ] 31 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Burnout Paradise\Руководство пользователя\Техническая поддержка EA.lnk"    (цель не восстановлена)

[DEL ] 32 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить The Darkness II - Limited Edition.lnk"    (цель не восстановлена)

[DEL ] 33 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить The Darkness II - Limited Edition.lnk"    (цель не восстановлена)

[DEL ] 34 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty - Modern Warfare 2 (Sherkan M3)\Call of Duty - MW2 (Sherkan M3) (Game).lnk"    (цель не восстановлена)

[DEL ] 35 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty - Modern Warfare 2 (Sherkan M3)\Call of Duty - MW2 (Sherkan M3) (Launcher).lnk"    (цель не восстановлена)

[DEL ] 36 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dead Island\Dead Island.lnk"    (цель не восстановлена)

[DEL ] 37 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dead Island\Деинсталлировать Dead Island.lnk"    (цель не восстановлена)

[DEL ] 38 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Five Nights at Freddy's 2 v1.0\Five Nights at Freddy's 2 v1.0.lnk"    (цель не восстановлена)

[DEL ] 39 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Five Nights at Freddy's 2 v1.0\Деинсталлировать Five Nights at Freddy's 2 v1.0.lnk"    (цель не восстановлена)

[DEL ] 40 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Left 4 Dead\Left 4 Dead.lnk"    (цель не восстановлена)

[DEL ] 41 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Left 4 Dead\Удалить.lnk"    (цель не восстановлена)

[DEL ] 42 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. BoxPack\Need For Speed Most Wanted Опасный поворот\Need For Speed Most Wanted Опасный поворот.lnk"    (цель не восстановлена)

[DEL ] 43 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. BoxPack\Need For Speed Most Wanted Опасный поворот\Удалить игру.lnk"    (цель не восстановлена)

[DEL ] 44 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Games\Grand Theft Auto IV\Запустить Grand Theft Auto IV.lnk"    (цель не восстановлена)

[DEL ] 45 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Games\Grand Theft Auto IV\Запустить GTA IV (без параметров).lnk"    (цель не восстановлена)

[DEL ] 46 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Games\Grand Theft Auto IV\Удалить Grand Theft Auto IV.lnk"    (цель не восстановлена)

[DEL ] 47 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Lucius\Играть Lucius.lnk"    (цель не восстановлена)

[DEL ] 48 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Metro Last Light\Играть Metro Last Light.lnk"    (цель не восстановлена)

[DEL ] 49 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Repack by Fenixx\Trials Evolution.Gold Edition.v 1.0.3 + 1 DLC\Trials Evolution.Gold Edition.v 1.0.3 + 1 DLC.lnk"    (цель не восстановлена)

[DEL ] 50 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Repack by Fenixx\Trials Evolution.Gold Edition.v 1.0.3 + 1 DLC\Деинсталлировать Trials Evolution.Gold Edition.v 1.0.3 + 1 DLC.lnk"    (цель не восстановлена)

[DEL ] 51 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Mafia 2.Digital Deluxe.v 1.0.0.1u5 + 8 DLC\Mafia 2.Digital Deluxe.v 1.0.0.1u5 + 8 DLC.lnk"    (цель не восстановлена)

[DEL ] 52 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarGame\Mafia 2.Digital Deluxe.v 1.0.0.1u5 + 8 DLC\Деинсталлировать Mafia 2.Digital Deluxe.v 1.0.0.1u5 + 8 DLC.lnk"    (цель не восстановлена)

[DEL ] 53 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\idle.exe - Ярлык.lnk"    (цель не восстановлена)

[DEL ] 54 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk"    (цель не восстановлена)

[DEL ] 55 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk"    (цель не восстановлена)

[DEL ] 56 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Мир Танков - Руководство пользователя.lnk"    (цель не восстановлена)

.

[sKIP] 11 "C:\Users\Леонид\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk"    (ярлык не найден)

.

__________________________ Также обработаны ____________________________

.

[DEL ] 3  "c:\users\леонид\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\Opera.LNK"    (цель не восстановлена)

.

[WARN] 10 "c:\Users\Леонид\AppData\Roaming\microsoft\Windows\start menu\Programs\accessories\system tools\Internet Explorer (No Add-ons).LNK"    -> [ "C:\Program Files\Internet Explorer\iexplore.exe" -extoff ]   (уже вылечен)

.

ClearLNK-05.10.2016_16-02.log

Изменено 5 октября, 2016 пользователем leonid666

[Sandor]

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

Не заметили?