Arturko 0 Опубликовано 27 января, 2015 Share Опубликовано 27 января, 2015 Вирус зашифровал файлы с расширением *dymdxca В основном файлы офиса, а также Dbf - что удивительно CollectionLog-2015.01.27-16.46.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 27 января, 2015 Share Опубликовано 27 января, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Users\BUH\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll',''); QuarantineFile('C:\Users\BUH\appdata\local\microsoft\internet explorer\extensions\apihelper.dll',''); QuarantineFile('C:\Users\BUH\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll',''); QuarantineFile('C:\Windows\system32\wlanmgr.dll',''); QuarantineFile('C:\Windows\system32\kbdmai.dll',''); QuarantineFile('C:\Windows\system32\ir16_32.dll',''); QuarantineFile('C:\Windows\system32\d3dadapter.dll',''); QuarantineFile('F:\autorun.inf',''); QuarantineFile('F:\wubi.exe',''); DeleteFile('F:\wubi.exe','32'); DeleteFile('F:\autorun.inf','32'); DeleteFile('C:\Windows\system32\d3dadapter.dll','32'); DeleteFile('C:\Windows\system32\ir16_32.dll','32'); DeleteFile('C:\Windows\system32\kbdmai.dll','32'); DeleteFile('C:\Windows\system32\wlanmgr.dll','32'); DeleteFile('C:\Windows\system32\Tasks\Express FilesUpdate','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Автологгером. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. В следующем вашем ответе мне требуются следующие отчеты: 1. CollectionLog-yyyy.mm.dd-hh.mm.zip 2. FRST.txt, Addition.txt Ссылка на сообщение Поделиться на другие сайты
Arturko 0 Опубликовано 28 января, 2015 Автор Share Опубликовано 28 января, 2015 Ответ на e-mail Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.apihelper.dll - not-a-virus:AdWare.Win32.BHO.beranpapihelper.dll,npapihelper_0.dll - not-a-virus:AdWare.Win32.BHO.berlЭто файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdatesautorun.infВредоносный код в файле не обнаружен.d3dadapter.dll,kbdmai.dll,wubi.exeir16_32.dllwlanmgr.dllПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.apihelper.dll - not-a-virus:AdWare.Win32.BHO.beranpapihelper.dll,npapihelper_0.dll - not-a-virus:AdWare.Win32.BHO.berlThese files are Advertizing Tools, theirs detection will be included in the next update of extended databases set. See more info about extended databases here: http://www.kaspersky.com/extraavupdatesautorun.infNo malicious code was found in this file.d3dadapter.dll,kbdmai.dll,wubi.exeir16_32.dllwlanmgr.dllA set of unknown files has been received. They will be sent to the Virus Lab.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"--------------------------------------------------------------------------------From: artur_05@ukr.netSent: 1/28/2015 6:25:54 AMTo: newvirus@kaspersky.comSubject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]LANG: ruemail: artur_05@ukr.net description:Вирус зашифровал файлы с расширением *dymdxcaЗагруженные файлы:quarantine.zip Програма FRST выдает ошибку при нажатии на кнопку Scan, но файл FRST.txt дает , картинку ошибки прикрепил файли еще ответ RE: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2461353407] сьогодні, 09:22 newvirus@kaspersky.com Кому:artur_05@ukr.net Hello, wubi.exe - clean autorun.inf - clean kbdmai.dll - Trojan-Downloader.Win32.Stantinko.b d3dadapter.dll - Trojan-Downloader.Win32.Stantinko.c ir16_32.dll - Backdoor.Win32.Agent.dlmv npapihelper.dll - not-a-virus:AdWare.Win32.BHO.berl apihelper.dll - not-a-virus:AdWare.Win32.BHO.bera wlanmgr.dll - Backdoor.Win32.Agent.dlmu New malicious software was found in the attached file. Its detection will be included in the next update. Thank you for your help. Best Regards, Cobber Tuo Malware Analyst, Kaspersky Lab. 39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com -------------------------------------------------------------------------------- From: artur_05@ukr.net Sent: 28.01.2015 9:26:00 To: newvirus@kaspersky.com Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] LANG: ru email: artur_05@ukr.net description: Вирус зашифровал файлы с расширением *dymdxca Загруженные файлы: quarantine.zip CollectionLog-2015.01.28-08.55.zip FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 28 января, 2015 Share Опубликовано 28 января, 2015 Перекачайте утилиту Farbar и попробуйте сделать логи еще раз. Ссылка на сообщение Поделиться на другие сайты
Arturko 0 Опубликовано 28 января, 2015 Автор Share Опубликовано 28 января, 2015 помогло Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 28 января, 2015 Share Опубликовано 28 января, 2015 Разработчик утилиты исправил ошибку в утилите. Важно! Скрипт нужно выполнять в безопасном режиме. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: BHO: APIHelperBHO -> {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} -> C:\Users\BUH\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper_64.dll () Toolbar: HKU\S-1-5-21-3820966142-3653488768-1870496788-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR Extension: (APIHelper) - C:\Users\BUH\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke [2014-10-31] CHR Extension: (Ultimate Discounter) - C:\Users\BUH\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2014-10-16] CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - No Path CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - No Path OPR Extension: (No Name) - C:\Users\BUH\AppData\Roaming\Opera Software\Opera Stable\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke [2014-10-31] OPR Extension: (Ultimate Discounter) - C:\Users\BUH\AppData\Roaming\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-16] OPR Extension: (APIHelper) - C:\Users\BUH\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-01-22] S2 d3dadapter; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S2 ir16_32; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S2 kbdmai; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 wlanmgr; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S2 BDKVRTP; "C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdSvc.exe" -r [X] S2 BDMRTP; "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe" -r [X] R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [174416 2014-09-17] (Baidu) R1 bd0003; C:\Windows\System32\DRIVERS\bd0003.sys [64840 2014-07-21] (Baidu) R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [141128 2014-10-16] (Baidu Technology) R2 BDArKit; C:\Windows\SysWOW64\DRIVERS\BDArKit.sys [87368 2014-09-19] (Baidu Technology) R2 BDMNetMon; C:\Windows\System32\DRIVERS\BDMNetMon.sys [109384 2014-06-19] (Baidu) R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [52040 2014-09-23] (Baidu) R2 BDSafeBrowser; C:\Windows\system32\drivers\BDSafeBrowser.sys [49480 2014-10-16] (Baidu) S1 bd0002; system32\DRIVERS\bd0002.sys [X] S1 bd0004; system32\DRIVERS\bd0004.sys [X] S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X] S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X] C:\Windows\System32\DRIVERS\bd0001.sys C:\Windows\System32\DRIVERS\bd0003.sys C:\Windows\System32\DRIVERS\BDArKit.sys C:\Windows\SysWOW64\DRIVERS\BDArKit.sys C:\Windows\System32\DRIVERS\BDMNetMon.sys C:\Windows\System32\DRIVERS\BDMWrench_x64.sys C:\Windows\system32\drivers\BDSafeBrowser.sys NETSVCx32: KBDMAI -> No ServiceDLL Path. NETSVCx32: d3dadapter -> No ServiceDLL Path. NETSVCx32: ir16_32 -> No ServiceDLL Path. NETSVCx32: wlanmgr -> No ServiceDLL Path. 2015-01-20 10:55 - 2015-01-20 10:55 - 0000024 ___SH () C:\Users\BUH\AppData\Roaming\1D959CA221C7573.sys Task: {4168C74C-ECEA-4D48-B1D4-11B2ED942DEF} - \iqkgudl No Task File <==== ATTENTION Task: {D2F0A4A0-99B3-4407-B9FA-850F191ACFFC} - \Express FilesUpdate No Task File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:D8999815 AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 EmptyTemp: Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Arturko 0 Опубликовано 28 января, 2015 Автор Share Опубликовано 28 января, 2015 вот AdwCleanerR0.txt Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 28 января, 2015 Share Опубликовано 28 января, 2015 1. Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Сделайте новые логи Farbar из обычного режима. Ссылка на сообщение Поделиться на другие сайты
Arturko 0 Опубликовано 28 января, 2015 Автор Share Опубликовано 28 января, 2015 вот Addition.txt AdwCleanerS0.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 28 января, 2015 Share Опубликовано 28 января, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Folder: C:\Users\BUH\AppData\Roaming\UniCryptH Folder: C:\35227201017402 2015-01-28 08:05 - 2014-10-27 08:29 - 00473553 _____ () C:\Windows\SysWOW64\ir16_32.dat Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Ссылка на сообщение Поделиться на другие сайты
Arturko 0 Опубликовано 29 января, 2015 Автор Share Опубликовано 29 января, 2015 Вот Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 29 января, 2015 Share Опубликовано 29 января, 2015 Логи в порядке. С расшифровкой не поможем. http://forum.kaspersky.com/index.php?showtopic=314866 Ссылка на сообщение Поделиться на другие сайты
Arturko 0 Опубликовано 29 января, 2015 Автор Share Опубликовано 29 января, 2015 Спасибо за ваше время Спасибо за ваше время Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти