вирус с форматом xtbl . помогите ) [Backdoor.Win32.Androm.gcuz, Trojan.Win32.Bitminer.it ]

[buerakov]

В общем...включаю комп и вижу что почти все программы(картинки,файлы оффиса и короче много еще что) не активны и имеют формат xtbl ..
так же как и у других пользователей столкнувшихся с этой проблемой(судя по темам с просьбой о помощи)
у меня есть текстовые файлы,которые лежат во многих папках с текстом
--------------------------------------
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
C3B4A68A9134702617FC|0
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.




All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
C3B4A68A9134702617FC|0
to e-mail address [email protected] or [email protected] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

[Info_bot]

Уважаемый(ая) buerakov, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\ЕГОР\appdata\roaming\ssleas.exe');
 QuarantineFile('c:\users\ЕГОР\appdata\roaming\ssleas.exe','');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 TerminateProcessByName('c:\users\ЕГОР\appdata\roaming\cppredistx86.exe');
 QuarantineFile('c:\users\ЕГОР\appdata\roaming\cppredistx86.exe','');
 DeleteFile('c:\users\ЕГОР\appdata\roaming\cppredistx86.exe','32');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('c:\users\ЕГОР\appdata\roaming\ssleas.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;	
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[buerakov]

Все, скрипт выполнил, карантин скинул ,
прикрепляю лог MBAM

[thyrex]

Поместите в карантин МВАМ только

Код:

Registry Keys: 11
PUP.Optional.ToolBar.WA, HKLM\SOFTWARE\CLASSES\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, , [31207a7d93f6d2649f8e30fab94ae11f], 
PUP.Optional.ToolBar.WA, HKLM\SOFTWARE\CLASSES\nsWebAlta.WebAltaSearchBar, , [31207a7d93f6d2649f8e30fab94ae11f], 
PUP.Optional.ToolBar.WA, HKU\S-1-5-21-3738583282-2311230466-3277459238-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, , [31207a7d93f6d2649f8e30fab94ae11f], 
PUP.Optional.ToolBar.WA, HKU\S-1-5-21-3738583282-2311230466-3277459238-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, , [31207a7d93f6d2649f8e30fab94ae11f], 
PUP.Optional.ToolBar.WA, HKU\S-1-5-21-3738583282-2311230466-3277459238-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}, , [aba68f683158fb3b03299298818227d9], 
PUP.Optional.Blabbers, HKU\S-1-5-21-3738583282-2311230466-3277459238-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{963B125B-8B21-49A2-A3A8-E37092276531}, , [89c8896e800967cfeed110f5cd361ae6], 
PUP.Optional.Blabbers, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{963B125B-8B21-49A2-A3A8-E37092276531}, , [89c8896e800967cfeed110f5cd361ae6], 
PUP.Optional.Blabbers, HKLM\SOFTWARE\CLASSES\updatebho.TimerBHO, , [89c8896e800967cfeed110f5cd361ae6], 
PUP.Optional.Blabbers, HKLM\SOFTWARE\CLASSES\updatebho.TimerBHO.1, , [89c8896e800967cfeed110f5cd361ae6], 
Backdoor.Bifrose, HKLM\SOFTWARE\System32, , [55fcfdfa3f4a8bab6ae90f4526dee020], 
PUP.Optional.DigitalSites.A, HKU\S-1-5-21-3738583282-2311230466-3277459238-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\DSiteProducts, , [aaa78a6d7f0a6ec8a16e15eb788d58a8], 

Registry Values: 2
PUP.Optional.ToolBar.WA, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR|{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}, ??????N??? WebAlta, , [31207a7d93f6d2649f8e30fab94ae11f]
PUP.Optional.ToolBar.WA, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}, , [93be25d2d7b256e0b4799e8cc14230d0], 

Registry Data: 1
Hijack.SearchPage, HKU\S-1-5-21-3738583282-2311230466-3277459238-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|SearchAssistant, http://webalta.ru/search, Good: (http://www.Google.com/), Bad: (http://webalta.ru/search),,[d67b2ccb9fea78bea3c7f4abb74e0df3]

Folders: 3
PUP.Optional.NextLive.A, C:\Users\???????а\AppData\Roaming\newnext.me, , [5cf5ed0addac49ed45a4b48ea1626799], 
PUP.Optional.NextLive.A, C:\Users\???????а\AppData\Roaming\newnext.me\cache, , [5cf5ed0addac49ed45a4b48ea1626799], 
PUP.Optional.Updater.A, C:\Users\???????а\AppData\Roaming\DSite\UpdateProc, , [222fb83f91f84cea444f93cb4eb537c9], 

Files: 128
Trojan.MSIL.ED, C:\Users\???????а\AppData\Local\Temp\BE40.tmp, , [3a176592b5d45adc6fc447b7c73ade22], 
PUP.Optional.WebAlta.A, C:\Users\???????а\AppData\Roaming\Mozilla\Firefox\Profiles\3defxs9b.default\searchplugins\webalta-search.xml, , [7fd2b93e6e1b0d29da172088c14206fa], 
Rogue.ControlCenter, C:\Users\Default\Desktop\Control Center.lnk, , [cd848d6a22671a1c649f3bbb16ede818], 
PUP.Optional.NextLive.A, C:\Users\???????а\AppData\Roaming\newnext.me\nengine.cookie, , [5cf5ed0addac49ed45a4b48ea1626799], 
PUP.Optional.NextLive.A, C:\Users\???????а\AppData\Roaming\newnext.me\cache\spark.bin, , [5cf5ed0addac49ed45a4b48ea1626799], 
PUP.Optional.Updater.A, C:\Users\???????а\AppData\Roaming\DSite\UpdateProc\config.dat, , [222fb83f91f84cea444f93cb4eb537c9], 
PUP.Optional.Updater.A, C:\Users\???????а\AppData\Roaming\DSite\UpdateProc\TTL.DAT, , [222fb83f91f84cea444f93cb4eb537c9],

[buerakov]

так..переместил..что дальше? удалять не надо?

[thyrex]

Удалите МВАМ

С расшифровкой не поможем

http://virusinfo.info/announcement.php?f=46&a=52

[buerakov]

спасибо)) удалил
а можно узнать,зачем вообще были проведены мной эти операции?цель?
я файлы шифрованные оставлю...их очень много..вдруг когда то дешифратор появится,мне не повредит это?

[thyrex]

зачем вообще были проведены мной эти операции?цель?

Зачистка следов шифровальщика и других зверьков, которых у Вас было достаточно

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\programdata\windows\csrss.exe - Backdoor.Win32.Androm.gcuz ( AVAST4: Win32:Malware-gen )
  2. c:\users\егор\appdata\roaming\cppredistx86.exe - Trojan.Win32.Bitminer.it ( BitDefender: Trojan.GenericKD.1975949 )