зашифрованные файлы. тип файла везде da_vinci_code

[НикитаЛ]

На рабочем столе сначало появилась табличка.
Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы.

и появилось много текстовых документов, в которых написаны, что все зашифровано, и перейдите туда то, заплатите и т.п.

прошу помощи!((((

CollectionLog-2016.05.17-02.00.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SetServiceStart('bd0004', 4);
 QuarantineFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Adobe\Shockwave Player\shockwaveplayer.exe','');
 DeleteFile('C:\ProgramData\Microsoft\Adobe\Shockwave Player\shockwaveplayer.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Program Files (x86)\baidu\pps.exe','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','32');
 DelBHO('{57FC7EA7-2F0D-4F3E-89BB-A1651B3F39AA}');
 DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Adobe Shockwave Player');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_7FA7F71AC9F294E463C24100DC2BFC11','command');
 DeleteService('bd0004');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2vvAbWoJSTuSDCm9_-6IVzqTD9Rayhe1hIEYT7z0cPXt8lXZkfMYljht5hMSXIC45pbe3oAKaDWqRv3ATh8bIdpxBzRyiK_xTNJJmWDbUXLc6sCLKO5_r-O1yBd8VwQtB2-ahTAbNyzCG7Y&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2vvAbWoJSTuSDCm9_-6IVzqTD9Rayhe1hIEYT7z0cPXt8lXZkfMYljht5hMSXIC45pbe3oAKaDWqRv3ATh8bIdpxBzRyiK_xTNJJmWDbUXLc6sCLKO5_r-O1yBd8VwQtB2-ahTAbNyzCG7Y&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2vvAbWoJSTuSDCm9_-6IVzqTD9Rayhe1hIEYT7z0cPXt8lXZkfMYljht5hMSXIC45pbe3oAKaDWqRv3ATh8bIdpxBzRyiK_xTNJJmWDbUXLc6sCLKO5_r-O1yBd8VwQtB2-ahTAbNyzCG7Y&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2vvAbWoJSTuSDCm9_-6IVzqTD9Rayhe1hIEYT7z0cPXt8lXZkfMYljht5hMSXIC45YXGeLgputLPlRdX_srZB2Vkl2e3soTelYZl3I3EvVnirxVLbwMarZmdrXUwPH6Uo3rBQaWnvREijtj
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://api.youqian.baidu.com/v1/nav?soft=12&uid=163737&guid=ac0ae303b4090fd50cf315d36b85724a&vd=4114503366
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2vvAbWoJSTuSDCm9_-6IVzqTD9Rayhe1hIEYT7z0cPXt8lXZkfMYljht5hMSXIC45pbe3oAKaDWqRv3ATh8bIdpxBzRyiK_xTNJJmWDbUXLc6sCLKO5_r-O1yBd8VwQtB2-ahTAbNyzCG7Y&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: AVdowloads - {57FC7EA7-2F0D-4F3E-89BB-A1651B3F39AA} - C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll (file missing)
O2 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\никита\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll (file missing)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [Adobe Shockwave Player] "C:\ProgramData\Microsoft\Adobe\Shockwave Player\shockwaveplayer.exe" -startup
O4 - Global Startup: KRB Updater Utility.lnk = C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe
 

 

Сделайте новые логи по правилам (только пункт 2).

+
приложите логи AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

[НикитаЛ]

изминений пока не увидел. 

не нашел я на касперском, где там флажки ставить и чтобы на почту все пришло, просто

проверил файл на касперском avz​0​0​0​0​2​.​dta

 

----Результат проверки файл заражен

Найденные угрозы Trojan.Win32.Fsysna.deca

Размер файла 846.50KB

Тип файла PE32/EXE

Дата проверки 2016-05-17 09:40:05

Дата выпуска баз 2016-05-17 02:19:31 UTC

MD5 a82dd8d9626a7e8bbbc28e1919506672

SHA1 d92b0384f2973c423517e63b6d80001f2047ee82

SHA256

e6c998ffb0f874c011ff1a72bbd738f772c6eacfb3e78d1d18ec3f52094aea4d

 

AdwCleanerS1.txt

CollectionLog-2016.05.17-10.05.zip

Изменено 17 мая, 2016 пользователем НикитаЛ