UDS:DangerousObject.Multi.Generic помогите удалить

[Алескей Немыкин]

Добрый день.

В почту пришло сообщение со вложением EMS Доставка Почта РУ 05302016R FDP.SCR

В итоге получил предупреждение что файлы зашифрованы.

Временные файлы пользователя отчистил.

Логи avz прикрепил.

Помогите искоренить.

Спасибо.

KL_syscure.zip

[Sandor]

Здравствуйте!

 

Соберите логи по этим правилам: Порядок оформления запроса о помощи

[Алескей Немыкин]

Здравствуйте!

 

Соберите логи по этим правилам: Порядок оформления запроса о помощи

Сделал новый лог

CollectionLog-2016.05.30-14.31.zip

[Sandor]

В антивирусе эта защита была включена на момент заражения?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\csrss\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\programdata\csrss\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\programdata\csrss\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Алескей Немыкин]

В антивирусе эта защита была включена на момент заражения?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\csrss\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\programdata\csrss\csrss.exe', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\programdata\csrss\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

KLAN-4362545913

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

 

csrss.exe - Trojan.Win32.Fsysna.dfpb

 

Детектирование файла будет добавлено в следующее обновление.

 

csrss_0.exe

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

 

новый лог прилагается

CollectionLog-2016.05.30-15.43.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Алескей Немыкин]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

новые логи

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-05-30 11:39 - 2016-05-30 14:55 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-05-30 11:39 - 2016-05-30 14:55 - 00000000 __SHD C:\ProgramData\Csrss
2016-05-30 11:38 - 2016-05-30 11:38 - 03148854 _____ C:\Users\User\AppData\Roaming\2ED1F46F2ED1F46F.bmp
2016-05-30 10:24 - 2016-05-30 14:55 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-30 10:24 - 2016-05-30 14:55 - 00000000 __SHD C:\ProgramData\Windows
Task: {B6723A18-82A4-4208-9E99-AAFC2D2E2BF7} - System32\Tasks\{4CC5757F-3153-43E7-824A-6BB6F94BADBE} => Chrome.exe 
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Алескей Немыкин]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-05-30 11:39 - 2016-05-30 14:55 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-05-30 11:39 - 2016-05-30 14:55 - 00000000 __SHD C:\ProgramData\Csrss
2016-05-30 11:38 - 2016-05-30 11:38 - 03148854 _____ C:\Users\User\AppData\Roaming\2ED1F46F2ED1F46F.bmp
2016-05-30 10:24 - 2016-05-30 14:55 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-30 10:24 - 2016-05-30 14:55 - 00000000 __SHD C:\ProgramData\Windows
Task: {B6723A18-82A4-4208-9E99-AAFC2D2E2BF7} - System32\Tasks\{4CC5757F-3153-43E7-824A-6BB6F94BADBE} => Chrome.exe 
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

новый лог

Fixlog.txt

[Sandor]

С расшифровкой, увы, не поможем.

[Алескей Немыкин]

Бог с ней с расшифровкой. там не успел он много нашифровать. Меня интересует зловред удален и подчищен?

[Sandor]

Да, именно так.

 

Для проверки уязвимых мест:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[mike 1]

Вирус вам удалили.

 

В качестве профилактических мер от случайного запуска исполняемых файлов из электронной почты рекомендую воспользоваться этой http://safezone.cc/threads/fixsecurity-by-vitokhv.27638/программой.

 

Как это работает:

 

 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:

 

1. https://forum.kaspersky.com/index.php?showtopic=314866

2. http://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=320&showentry=2083

[Алескей Немыкин]

новый лог

спасибо

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено (-1)

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 9 v.9.0.41110 Внимание! Скачать обновления

WinRAR 5.00 бета 6 (32-разрядная) v.5.00.6 Внимание! Скачать обновления

--------------------------- [ AppleProduction ] ---------------------------

iTunes v.12.0.1.26 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

Bonjour v.3.0.0.10 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.50.0.2661.102 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------

Skype Click to Call v.8.3.0.9150 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО