Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Файлы загифрованы .xtbl [not-a-virus:RiskTool.Java.BitCoinMiner.a, not-a-virus:PSWTool.Win32.NetPass.cif ] (заявка № 174534)

  1. #1
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    11

    Файлы загифрованы .xtbl [not-a-virus:RiskTool.Java.BitCoinMiner.a, not-a-virus:PSWTool.Win32.NetPass.cif ]

    Поймал наконец таки этот вирус на вирт. машину. Ничего антивирусами в этот раз не чистил, могу с уверенностью сказать, что он залазиет через программу автосерфинга Safesurf. Сделал всё по инструкции. Логи прилагаю, надеюсь удастся поймать тело шифратора.

    Появился еще файл virusinfo_autoquarantine.zip его передать через верхнюю ссылку?
    Вложения Вложения
    Последний раз редактировалось Vladimir64; 12.01.2015 в 21:52.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) Vladimir64, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    В AVZ выполните скрипт:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
     QuarantineFile('C:\Program Files\Userator\Userator.exe','');
    QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Gw+21IlqLWIhkv8fm5p5ydmO2gLJbG98+VuoP+au2dA=.xtbl','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\QlFNnBiZAoWQ777-STBNgWQ2LbuE3956Bh32Xq3IrAU=.xtbl','');
     QuarantineFile('C:\Program Files\Userator\Userator.exe','');
     QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
     DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\QlFNnBiZAoWQ777-STBNgWQ2LbuE3956Bh32Xq3IrAU=.xtbl','32');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Gw+21IlqLWIhkv8fm5p5ydmO2gLJbG98+VuoP+au2dA=.xtbl','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.


    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.

    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

    Логи повторите.
    Paula rhei.
    Поддержать проект можно тут

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    11
    Карантин не могу загрузить, доходит до половины и зависает, может можно на файлообмениик?
    Новые логи прилагаю.

    - - - - -Добавлено - - - - -

    Карантин отправил, получилось с другого браузер загрузить.
    Вложения Вложения

  7. #5
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    11
    Посмотрите пожалуйста мою тему.

  8. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Внимание !!! База поcледний раз обновлялась 12.01.2015 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Обновите базы. Сделайте новые логи.

    Эта C:\Program Files\Userator программа знакома?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  9. Это понравилось:


  10. #7
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    11
    Выкладываю свежие логи с обновленными базами.
    Да, Userator знакома, это инсталляшник программы с сайта userator.ru (В нем точно вреда нет).
    На этой вирт. машине по сути для эксперимента только был запущен SafeSurf, дабы поймать тело шифратора, для решения глобальной моей проблемы с расшифровкой файлов. Могу с уверенностью сказать, что он мог только от туда проникнуть, серфом в браузере/скачкой файлов я не занимался на это машине как собственно и ничем другим.
    Вложения Вложения

  11. #8
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    11
    нашел вот еще исходник заставки, поселяется по адресу C:\Documents and Settings\Admin\Application Data
    http://s017.radikal.ru/i441/1501/6d/1746a95224b7.png

  12. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    В логах ничего не вижу плохого.
    Сделайте лог полного сканирования MBAM
    Paula rhei.
    Поддержать проект можно тут

  13. Это понравилось:


  14. #10
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    11
    Сделал, нашел сканированием много чего подозрительного судя по логу, именно те ветки реестра которые отвечают за ассоциацию файлов.
    Вложения Вложения

  15. #11
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    11
    UP...

  16. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Врядли тут что-то найдется, но вдруг.

    В AVZ выполните скрипт:

    Код:
    begin
    ClearQuarantine;
     QuarantineFile('C:\Program Files\SafeSurf\safesurf.exe','');
     QuarantineFile('C:\Program Files\SafeSurf\f\cg.exe','');
     QuarantineFile('C:\WINDOWS\Cleanup.exe','');
     QuarantineFile('C:\WINDOWS\system32\hidcon.exe','');
     QuarantineFile('C:\WINDOWS\system32\CPLDAPU\WebBrowserPassView.exe','');
     QuarantineFile('C:\WINDOWS\system32\CPLDAPU\ProduKey.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.


    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.

    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Paula rhei.
    Поддержать проект можно тут

  17. Это понравилось:


  18. #13
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    11
    Сделал, загрузил.

    P/S Кстати, сам шифровщик прописывается в реестре по адресу
    HKEY_LOCAL_MACHINE\SOFTWARE\System32\Configuration

    у меня к примеру такое содержание здесь
    [HKEY_LOCAL_MACHINE\SOFTWARE\System32\Configuration]
    "i"="B3B2B72AACCCAD26B8AE"
    "Version"="7.2.0.3"
    "mode"="0"
    "pk"="-----BEGIN PUBLIC KEY-----
    MIIBojANBgkqhkiG9w0BAQEFAAOCAY8AMIIBigKCAYEAqVPF+B tKObHZtKievwmQ
    Q4lKl9OT4plMokVoey3pKSgvYLxuUNml5SLX7KNgRhcruc1zDA 1aI2q4HVay5bmp
    FBMt6ifT+ocHyQFoCZpAJN9+yppJXWmUaV42/TsLOqCHujxGuXAztdYy4wMVt9md
    pNi3+wC2QktEJjQwM5VS0nCSHh2zIHQwURbP9yGgTEt74JYuy0 gLNg/L6vwUusDu
    Nsr5PYilHTbXrn4jCV3TW3yDqrhNKEXerY9bMpyFB0+XEhone6 btxaCL884LCBwY
    NKGkxseyeqLBpbvz6ltYE7O9L5Z3iNQAqlVwavbkj7fRO88Sfv JEwyl3Trx/k2Ej
    NKwbg+MkTx9Vuw0kzeJ1r5YCNRxErPJCfW+uRJ8QQFg/56GN0KOhGzcQjtVF0GWu
    ACxtVDDEAxP1EIm1Qwq9ogBrncNNabRFGbJ6xRUS7eGSTMyBZK faVyoeDPbsC82K
    O/VVysuaunKQyIBtW9MsvUzZKWGSte1wdretHOKTv/n/AgMBAAE=
    -----END PUBLIC KEY-----
    "
    "state"="5"
    "cnt"="72403"

    Параметр "i" - как раз и есть код, который должен отправляться злоумышленнику, а он по идее должен прислать полный ключ, по которому собственно и расшифруются данные через энкодер.
    Последний раз редактировалось Vladimir64; 21.01.2015 в 18:19.

  19. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Это публичный ключ (Public Key) для расшифровки используется секретный ключ (Private key).
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  20. Это понравилось:


  21. #15
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    11
    Да это понятно, приват ключ для каждого индивидуальный вообще, но есть ли способы как нибудь программным способом подбирать этот ключ?

  22. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    WebBrowserPassView устанавливали сами?
    Paula rhei.
    Поддержать проект можно тут

  23. #17
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    11
    Цитата Сообщение от миднайт Посмотреть сообщение
    WebBrowserPassView устанавливали сами?
    нет, не устанавливал.

  24. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Цитата Сообщение от Vladimir64 Посмотреть сообщение
    Да это понятно, приват ключ для каждого индивидуальный вообще, но есть ли способы как нибудь программным способом подбирать этот ключ?
    На это уйдут годы.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  25. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Значит WebBrowserPassView.exe можно убивать.
    Тут описание ProduKey.exe
    http://virusinfo.info/showthread.php?t=107183
    сами устанавливали? если нет, то имеет смысл удалить. Также удалить SafeSurf через установку\удаление программ.
    Paula rhei.
    Поддержать проект можно тут

  26. #20
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    11
    Спасибо вам за помощь!

  • Уважаемый(ая) Vladimir64, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 09.02.2015, 15:07
    2. Помогите файлы с расширением XTBL
      От Александр Аристов в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.01.2015, 14:21
    3. Ответов: 14
      Последнее сообщение: 12.01.2015, 10:47
    4. Помогите фалы с расширением XTBL
      От Андрей Кондратьев в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.01.2015, 18:48
    5. Зашифрованы файлы (все с расширением xtbl)
      От ColobokRRN в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.12.2014, 23:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01195 seconds with 17 queries