Пропали фотографии и видео

1 июля, 2015

Добрый день!

Компьютер, которым в основном пользовалась мама заразился. Подробностей заражения разузнать не удалось.

Подключил жесткий к своему и вылечил с помощью kis. Теперь пробую восстановить зашифрованные вирусом файлы.

Логи и отчет Касперского прикрепляю.

CollectionLog-2015.07.01-14.50.zip

Otchet_kis.txt

1 июля, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\system32\BDL.dll','');
QuarantineFile('C:\Temp\start.exe','');
QuarantineFile('C:\Program Files (x86)\fun4u\fun4u_updating_service.exe','');
QuarantineFile('C:\Program Files (x86)\ver5BlockAndSurf\J4BlockAndSurfJ52.exe','');
QuarantineFile('C:\Program Files (x86)\fun4u\fun4u_notification_service.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-7.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-6.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-5.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-4.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-10.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-1-7.exe','');
QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-1-6.exe','');
DelBHO('{00000001-AB3B-4334-9DA2-EC6B2A02AFC7}');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
DelBHO('{45FE7DE3-60B5-7692-4294-A09C8F75D7B2}');
QuarantineFile('C:\Program Files (x86)\ver5BlockAndSurf\190.dll','');
QuarantineFile('C:\Program Files (x86)\iDownloader\iDownloaderBHO.dll','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\firefox.bat','');
QuarantineFile('C:\Users\Даня\AppData\Roaming\cppredistx86.exe','');
QuarantineFile('C:\Users\Даня\AppData\Local\gmsd_ru_164\upgmsd_ru_164.exe','');
QuarantineFile('C:\Users\Даня\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Program Files (x86)\gmsd_ru_164\gmsd_ru_164.exe','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
SetServiceStart('webTinstMKTN', 4);
DeleteService('webTinstMKTN');
SetServiceStart('qrnfd_1_10_0_9', 4);
DeleteService('qrnfd_1_10_0_9');
DeleteService('tujesike');
QuarantineFile('C:\Users\Даня\AppData\Local\625446A2-1426187378-E611-B9F6-705AB6212EE2\cnsp8C9B.tmp','');
QuarantineFile('C:\Users\Даня\AppData\Local\625446A2-1426187394-E611-B9F6-705AB6212EE2\snsuC5B2.tmp','');
QuarantineFile('C:\Users\Даня\AppData\Roaming\625446A2-1426176291-E611-B9F6-705AB6212EE2\jnsi8797.tmp','');
QuarantineFile('C:\Users\Даня\AppData\Local\625446A2-1426187149-E611-B9F6-705AB6212EE2\insd764.tmp','');
QuarantineFile('C:\Program Files (x86)\QuickRef_1.10.0.9\Service\qrsvc.exe','');
DeleteService('qrsvc_1.10.0.9');
DeleteService('hicopevo');
DeleteService('fyhepimi');
DeleteService('fesufuje');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
SetServiceStart('IHProtect Service', 4);
DeleteService('IHProtect Service');
SetServiceStart('dijopyky', 4);
DeleteService('dijopyky');
QuarantineFile('C:\Program Files (x86)\IGS\BasementDuster.exe','');
SetServiceStart('BasementDuster', 4);
DeleteService('BasementDuster');
QuarantineFile('C:\Windows\system32\Drivers\webTinstMKTN.sys','');
QuarantineFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','');
QuarantineFile('C:\Program Files (x86)\Zaxar\libjsonb.dll','');
QuarantineFile('C:\Program Files (x86)\Zaxar\libjson.dll','');
QuarantineFile('C:\Program Files (x86)\Zaxar\libandle.dll','');
QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll','');
QuarantineFile('C:\Program Files (x86)\XTab\IeWatchDog.dll','');
QuarantineFile('C:\Program Files (x86)\XTab\BrowerWatchFF.dll','');
QuarantineFile('C:\Program Files (x86)\XTab\BrowerWatchCH.dll','');
QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\goopdate.dll','');
QuarantineFile('C:\Program Files (x86)\IGS\BasementDusterCert.dll','');
TerminateProcessByName('c:\program files (x86)\zaxar\zaxarsound.exe');
QuarantineFile('c:\program files (x86)\zaxar\zaxarsound.exe','');
TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
TerminateProcessByName('c:\users\Даня\appdata\local\gmsd_ru_164\upgmsd_ru_164.exe');
QuarantineFile('c:\users\Даня\appdata\local\gmsd_ru_164\upgmsd_ru_164.exe','');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe');
QuarantineFile('c:\program files (x86)\xtab\protectservice.exe','');
TerminateProcessByName('c:\program files (x86)\obnovi soft\obnovisoft.exe');
TerminateProcessByName('c:\users\Даня\appdata\roaming\625446a2-1426176291-e611-b9f6-705ab6212ee2\nsq3f47.tmp');
QuarantineFile('c:\users\Даня\appdata\roaming\625446a2-1426176291-e611-b9f6-705ab6212ee2\nsq3f47.tmp','');
TerminateProcessByName('c:\program files (x86)\xtab\hpnotify.exe');
QuarantineFile('c:\program files (x86)\xtab\hpnotify.exe','');
TerminateProcessByName('c:\program files (x86)\xtab\cmdshell.exe');
QuarantineFile('c:\program files (x86)\xtab\cmdshell.exe','');
TerminateProcessByName('c:\program files (x86)\igs\basementduster.exe');
QuarantineFile('c:\program files (x86)\igs\basementduster.exe','');
TerminateProcessByName('c:\program files (x86)\cinemap-1.9cv11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-6.exe');
QuarantineFile('c:\program files (x86)\cinemap-1.9cv11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-6.exe','');
TerminateProcessByName('c:\program files (x86)\cinemap-1.9cv11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-1-6.exe');
QuarantineFile('c:\program files (x86)\cinemap-1.9cv11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-1-6.exe','');
DeleteFile('c:\program files (x86)\cinemap-1.9cv11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-1-6.exe','32');
DeleteFile('c:\program files (x86)\cinemap-1.9cv11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-6.exe','32');
DeleteFile('c:\program files (x86)\igs\basementduster.exe','32');
DeleteFile('c:\program files (x86)\xtab\cmdshell.exe','32');
DeleteFile('c:\program files (x86)\xtab\hpnotify.exe','32');
DeleteFile('c:\users\Даня\appdata\roaming\625446a2-1426176291-e611-b9f6-705ab6212ee2\nsq3f47.tmp','32');
DeleteFile('c:\program files (x86)\obnovi soft\obnovisoft.exe','32');
DeleteFile('c:\program files (x86)\xtab\protectservice.exe','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('c:\users\Даня\appdata\local\gmsd_ru_164\upgmsd_ru_164.exe','32');
DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
DeleteFile('c:\program files (x86)\zaxar\zaxarsound.exe','32');
DeleteFile('C:\Program Files (x86)\IGS\BasementDusterCert.dll','32');
DeleteFile('C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\goopdate.dll','32');
DeleteFile('C:\Program Files (x86)\XTab\BrowerWatchCH.dll','32');
DeleteFile('C:\Program Files (x86)\XTab\BrowerWatchFF.dll','32');
DeleteFile('C:\Program Files (x86)\XTab\IeWatchDog.dll','32');
DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
DeleteFile('C:\Program Files (x86)\Zaxar\libandle.dll','32');
DeleteFile('C:\Program Files (x86)\Zaxar\libjson.dll','32');
DeleteFile('C:\Program Files (x86)\Zaxar\libjsonb.dll','32');
DeleteFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
DeleteFile('C:\Windows\system32\Drivers\webTinstMKTN.sys','32');
DeleteFile('C:\Program Files (x86)\IGS\BasementDuster.exe','32');
DeleteFile('C:\Program Files (x86)\QuickRef_1.10.0.9\Service\qrsvc.exe','32');
DeleteFile('C:\Users\Даня\AppData\Local\625446A2-1426187149-E611-B9F6-705AB6212EE2\insd764.tmp','32');
DeleteFile('C:\Users\Даня\AppData\Roaming\625446A2-1426176291-E611-B9F6-705AB6212EE2\jnsi8797.tmp','32');
DeleteFile('C:\Users\Даня\AppData\Local\625446A2-1426187394-E611-B9F6-705AB6212EE2\snsuC5B2.tmp','32');
DeleteFile('C:\Users\Даня\AppData\Local\625446A2-1426187378-E611-B9F6-705AB6212EE2\cnsp8C9B.tmp','32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Обнови Софт');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_164');
DeleteFile('C:\Program Files (x86)\gmsd_ru_164\gmsd_ru_164.exe','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
DeleteFile('C:\Users\Даня\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_164.exe');
DeleteFile('C:\Users\Даня\AppData\Local\gmsd_ru_164\upgmsd_ru_164.exe','32');
DeleteFile('C:\Users\Даня\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\firefox.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files (x86)\ver5BlockAndSurf\190.dll','32');
DeleteFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-1-6.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-1-7.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-10.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-4.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-5.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-6.exe','32');
DeleteFile('C:\Program Files (x86)\CinemaP-1.9cV11.03\56ed3de3-f692-4e51-af73-2ee75af757ca-7.exe','32');
DeleteFile('C:\Windows\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-7.job','64');
DeleteFile('C:\Windows\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-6.job','64');
DeleteFile('C:\Windows\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-5_user.job','64');
DeleteFile('C:\Windows\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-5.job','64');
DeleteFile('C:\Windows\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-4.job','64');
DeleteFile('C:\Windows\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-10_user.job','64');
DeleteFile('C:\Windows\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-1-7.job','64');
DeleteFile('C:\Windows\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-1-6.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Windows\Tasks\BlockAndSurf Update.job','64');
DeleteFile('C:\Windows\Tasks\fun4u_notification_service.job','64');
DeleteFile('C:\Program Files (x86)\fun4u\fun4u_notification_service.exe','32');
DeleteFile('C:\Program Files (x86)\ver5BlockAndSurf\J4BlockAndSurfJ52.exe','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Program Files (x86)\fun4u\fun4u_updating_service.exe','32');
DeleteFile('C:\Windows\Tasks\fun4u_updating_service.job','64');
DeleteFile('C:\Windows\Tasks\METFM.job','64');
DeleteFile('C:\Windows\Tasks\QAXU.job','64');
DeleteFile('C:\Windows\Tasks\SOquLZZP9hohaxIYm6mUWDj6.job','64');
DeleteFile('C:\Windows\Tasks\v6Ss54rzQlLZCGen690k4OE.job','64');
DeleteFile('C:\Windows\system32\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-1-6','64');
DeleteFile('C:\Windows\system32\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-1-7','64');
DeleteFile('C:\Windows\system32\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-4','64');
DeleteFile('C:\Windows\system32\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-5','64');
DeleteFile('C:\Windows\system32\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-6','64');
DeleteFile('C:\Windows\system32\Tasks\56ed3de3-f692-4e51-af73-2ee75af757ca-7','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\BlockAndSurf Update','64');
DeleteFile('C:\Windows\system32\Tasks\fun4u_notification_service','64');
DeleteFile('C:\Windows\system32\Tasks\fun4u_updating_service','64');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Windows\system32\Tasks\WdfHG','64');
DeleteFile('C:\Temp\start.exe','32');
DeleteFile('C:\Windows\system32\BDL.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(15);
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Сделайте НОВЫЕ логи ПО ПРАВИЛАМ

7 июля, 2015

Вот ответ [KLAN-2950562245]:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

190.dll,
56ed3de3-f692-4e51-af73-2ee75af757ca-10.exe,
56ed3de3-f692-4e51-af73-2ee75af757ca-6.exe,
BasementDuster.exe,
BasementDusterCert.dll,
iDownloaderBHO.dll,
libandle.dll,
libjson.dll,
libjsonb.dll,
zaxarloader.exe,
zaxarsound.exe
BrowerWatchCH.dll,
BrowerWatchFF.dll,
hpnotify.exe,
IeWatchDog.dll,
protectservice.exe
webTinstMKTN.sys

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

56ed3de3-f692-4e51-af73-2ee75af757ca-1-6.exe - not-a-virus:WebToolbar.Win32.CroRi.fhz
56ed3de3-f692-4e51-af73-2ee75af757ca-4.exe - not-a-virus:RiskTool.Win32.Agent.wwa
56ed3de3-f692-4e51-af73-2ee75af757ca-5.exe - not-a-virus:WebToolbar.Win32.CrossRider.acsk
fun4u_notification_service.exe - not-a-virus:WebToolbar.Win32.CrossRider.zzu
goopdate.dll - not-a-virus:RiskTool.Win32.GlobalUpdate.dw

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

cmdshell.exe - not-a-virus:AdWare.Win32.SearchProtect.ky
protectwindowsmanager.exe - not-a-virus:AdWare.Win32.WProtManager.an
qrnfd_1_10_0_9.sys - not-a-virus:AdWare.Win32.Vitruvian.e
SupTab.dll - not-a-virus:AdWare.Win32.SearchProtect.qt

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

ClearLNK-07.07.2015_13-23.log

7 июля, 2015

Новые логи по правилам где?

+ Сделайте лог полного сканирования МВАМ

13 июля, 2015

Новые логи и логи полного сканирования МВАМ.

CollectionLog-2015.07.08-15.59.zip

1307.txt

13 июля, 2015

Удалите в МВАМ все найденное

Пропали фотографии и видео

Рекомендуемые сообщения

nol

thyrex

nol

thyrex

nol

thyrex

Пожалуйста, войдите, чтобы комментировать

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum