Перейти к содержанию

Помогите вычистить Da Vinci Code


Рекомендуемые сообщения

Тоже поймали Da Vinci Code. На машине стоит KES 10. Из описаний подобных тем так и не понял, стоит ли подавать заявку на расшифровку? Ключ регистрации есть. Пока восстанавливаю что могу из теневой копии и прошу помочь хотя бы вычистить, что могло остаться. Процесс-виновник найден, тот же csrss.exe, могу приложить.

Может быть кто в поздний час откликнется, спасибо.


Не стал дожидаться ответа и прошёлся FRST по системе, как советуют в других темах, раз это стандартная процедура...

CollectionLog-2016.05.31-22.20.zip

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\UnKES.vbs', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\condefclean.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotector.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorupdate.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\libeay32.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\nspr4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\nss3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\plc4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\plds4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\smime3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\softokn3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\ssleay32.dll', '');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\UnKES.vbs', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotector.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorupdate.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll', '32');
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteFileMask('c:\program files\contentprotector', '*', true);
 DeleteDirectory('c:\program files\spacesoundpro');
 DeleteDirectory('c:\program files\contentprotector');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PPort11reminder');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','UnKES');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

Хочу сказать, что сам процесс шифровальщика я нашёл и засунул в запароленный архив, может потому вредоносный код не обнаружен. Что за другие процессы непонятно так сходу...Спасибо.

 

[KLAN-4373063161]

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

SpaceSoundPro.dll

Вредоносный код в файле не обнаружен.

condefclean.exe,
ContentProtector.exe,
ContentProtectorConrol.exe,
ContentProtectorUpdate.exe,
import_root_cert.exe,
libeay32.dll,
ssleay32.dll,
certutil.exe,
mozcrt19.dll,
nspr4.dll,
nss3.dll,
plc4.dll,
plds4.dll,
smime3.dll,
softokn3.dll - not-a-virus:NetTool.Win64.NetFilter.jd
ContentProtectorDrv.sys - not-a-virus:NetTool.Win32.NetFilter.as

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

ConProtSetup.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

Check_Browsers_LNK.log

CollectionLog-2016.06.01-02.01.zip

Ссылка на комментарий
Поделиться на другие сайты

Отчёт о работе в виде файла ClearLNK-<Дата>.log

Вы прикрепили не тот.

 

может потому вредоносный код не обнаружен

Нет, это ответ "робота".

 

Далее:

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Прошу прощения...невнимательно читал и после сканирования AdwCleaner'ом сразу нажал очистку, просмотрев список найденного, вот как бы лог после очистки который выдался

ClearLNK-01.06.2016_01-48.log

ClearLNK-01.06.2016_01-48.log

AdwCleanerC1.txt

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Addition.txt почему-то не создался

Два варианта:

- либо уже запускали и он присутствует. В этом случае удалите все, включая папку C:\FRST и повторите

- либо до начала сканирования не отметили этот пункт галочкой. Отметьте и тоже повторите.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM-x32\...\Run: [gmsd_ru_005010037] => [X]
HKLM-x32\...\Run: [gmsd_ru_025010027] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicyScripts: Restriction <======= ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3315191085-1236051464-3896528606-1006 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HomePage: Profile 1 -> mail.ru/cnt/11956636
CHR StartupUrls: Profile 1 -> "hxxp://mail.ru/cnt/10445?gp=821268"
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgknpfancpeamejmcooedljjnaddldhg [2015-10-15]
CHR Extension: (Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2015-10-15]
CHR Extension: (Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2015-10-15]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2015-10-15]
2016-05-31 10:09 - 2016-05-31 21:53 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-31 10:09 - 2016-05-31 21:53 - 00000000 __SHD C:\ProgramData\Windows
2016-05-31 15:41 - 2015-07-22 08:46 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-05-31 15:41 - 2015-07-22 08:46 - 00000000 ____D C:\ProgramData\IObit
2016-05-31 15:40 - 2015-07-22 08:46 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-05-31 15:40 - 2015-07-22 08:46 - 00000000 ____D C:\ProgramData\ProductData
C:\ProgramData\horse.exe
C:\Users\Все пользователи\horse.exe
C:\Users\Administrator\AppData\Local\Temp\mediaget-uninstaller.exe
C:\Users\Администратор\AppData\Local\Temp\condefclean.exe
C:\Users\Администратор\AppData\Local\Temp\MailRuUpdater.exe
Task: {70DA06C3-7C8E-4F93-9ECD-82655B4554EC} - \APSnotifierPP2 -> No File <==== ATTENTION
Task: {8AC6E6EE-AD8D-4B1A-9F9C-4C6DD2E5311C} - \APSnotifierPP1 -> No File <==== ATTENTION
Task: {B31F638D-033D-4A14-B284-F11192199E33} - \APSnotifierPP3 -> No File <==== ATTENTION
Task: {C5708A84-91D7-4B66-BC21-18020F8F004D} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {C80125F7-CD04-4705-A121-12C658A30F26} - \WordShark Auto Updater 1.10.0.20 Pending Update -> No File <==== ATTENTION
Task: {CFF5F72A-5579-406E-95FA-6AC314B9BBB7} - \WordShark Auto Updater 1.10.0.20 Core -> No File <==== ATTENTION
Task: {E9394D6B-ED79-4EB2-897F-5B6B1B40A825} - \Crossbrowse -> No File <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Сделал. Скажите, а эти проверки и исправления только на текущего пользователя распространяются? Вот думаю, может мне надо под пользователя, который шифровальщика запустил, перелогиниться, а то я-то под админом.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

а то я-то под админом

Все правильно, так и нужно.

 

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
    • plotikkaroch
      От plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR.
      Объект: dialer.exe.
      Угроза: NET:MALWARE.URL
      Путь:\Net\3816\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
               \Net\2508\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
      Не знаю, что для этого нужно делать и прикреплять. Поэтому прикрепил, что увидел в других похожих темах на этот счет.
      Виндовс не очень хочется переустанавливать из-за этого.
      Curelt его не обезвреживает, при повторном сканировании также появляются в списке. 
      Логи cureit, SysInfo, FRST, Addition: https://dropmefiles.com/AiGRB
    • Milkuf
      От Milkuf
      Помогите дочистить систему от вирусов.
      https://forum.kasperskyclub.ru/topic/465233-zakryvaetsja-programma-ustanovki-kaspersky-free/-здесь мне посоветовали создать тут тему, чтобы полностью очистить систему от вирусов.
       
      CollectionLog-2024.12.10-08.48.zip
    • Lichtqwe
      От Lichtqwe
      Активировал windows через кмс, подхватил майнера с добавлением пользователя john, не получается скачать антивирус, autologger и av block remover не запускаются даже после того как переименовал, пишет отказано в доступе
×
×
  • Создать...