Помогите вычистить Da Vinci Code

[ezz]

Тоже поймали Da Vinci Code. На машине стоит KES 10. Из описаний подобных тем так и не понял, стоит ли подавать заявку на расшифровку? Ключ регистрации есть. Пока восстанавливаю что могу из теневой копии и прошу помочь хотя бы вычистить, что могло остаться. Процесс-виновник найден, тот же csrss.exe, могу приложить.

Может быть кто в поздний час откликнется, спасибо.

Не стал дожидаться ответа и прошёлся FRST по системе, как советуют в других темах, раз это стандартная процедура...

CollectionLog-2016.05.31-22.20.zip

Addition.txt

FRST.txt

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\UnKES.vbs', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\condefclean.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotector.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorupdate.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\libeay32.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\nspr4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\nss3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\plc4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\plds4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\smime3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\softokn3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\ssleay32.dll', '');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\UnKES.vbs', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotector.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorupdate.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll', '32');
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteFileMask('c:\program files\contentprotector', '*', true);
 DeleteDirectory('c:\program files\spacesoundpro');
 DeleteDirectory('c:\program files\contentprotector');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PPort11reminder');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','UnKES');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[ezz]

Хочу сказать, что сам процесс шифровальщика я нашёл и засунул в запароленный архив, может потому вредоносный код не обнаружен. Что за другие процессы непонятно так сходу...Спасибо.

 

[KLAN-4373063161]

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

SpaceSoundPro.dll

Вредоносный код в файле не обнаружен.

condefclean.exe,
ContentProtector.exe,
ContentProtectorConrol.exe,
ContentProtectorUpdate.exe,
import_root_cert.exe,
libeay32.dll,
ssleay32.dll,
certutil.exe,
mozcrt19.dll,
nspr4.dll,
nss3.dll,
plc4.dll,
plds4.dll,
smime3.dll,
softokn3.dll - not-a-virus:NetTool.Win64.NetFilter.jd
ContentProtectorDrv.sys - not-a-virus:NetTool.Win32.NetFilter.as

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

ConProtSetup.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

Check_Browsers_LNK.log

CollectionLog-2016.06.01-02.01.zip

[Sandor]

Отчёт о работе в виде файла ClearLNK-<Дата>.log

Вы прикрепили не тот.

 

может потому вредоносный код не обнаружен

Нет, это ответ "робота".

 

Далее:

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ezz]

Прошу прощения...невнимательно читал и после сканирования AdwCleaner'ом сразу нажал очистку, просмотрев список найденного, вот как бы лог после очистки который выдался

ClearLNK-01.06.2016_01-48.log

ClearLNK-01.06.2016_01-48.log

AdwCleanerC1.txt

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ezz]

Добрый день

Addition.txt почему-то не создался

FRST.txt

Shortcut.txt

[Sandor]

Addition.txt почему-то не создался

Два варианта:

- либо уже запускали и он присутствует. В этом случае удалите все, включая папку C:\FRST и повторите

- либо до начала сканирования не отметили этот пункт галочкой. Отметьте и тоже повторите.

[ezz]

Добрый день, Sandor

Сделал

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM-x32\...\Run: [gmsd_ru_005010037] => [X]
HKLM-x32\...\Run: [gmsd_ru_025010027] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicyScripts: Restriction <======= ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3315191085-1236051464-3896528606-1006 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HomePage: Profile 1 -> mail.ru/cnt/11956636
CHR StartupUrls: Profile 1 -> "hxxp://mail.ru/cnt/10445?gp=821268"
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgknpfancpeamejmcooedljjnaddldhg [2015-10-15]
CHR Extension: (Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2015-10-15]
CHR Extension: (Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2015-10-15]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2015-10-15]
2016-05-31 10:09 - 2016-05-31 21:53 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-31 10:09 - 2016-05-31 21:53 - 00000000 __SHD C:\ProgramData\Windows
2016-05-31 15:41 - 2015-07-22 08:46 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-05-31 15:41 - 2015-07-22 08:46 - 00000000 ____D C:\ProgramData\IObit
2016-05-31 15:40 - 2015-07-22 08:46 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-05-31 15:40 - 2015-07-22 08:46 - 00000000 ____D C:\ProgramData\ProductData
C:\ProgramData\horse.exe
C:\Users\Все пользователи\horse.exe
C:\Users\Administrator\AppData\Local\Temp\mediaget-uninstaller.exe
C:\Users\Администратор\AppData\Local\Temp\condefclean.exe
C:\Users\Администратор\AppData\Local\Temp\MailRuUpdater.exe
Task: {70DA06C3-7C8E-4F93-9ECD-82655B4554EC} - \APSnotifierPP2 -> No File <==== ATTENTION
Task: {8AC6E6EE-AD8D-4B1A-9F9C-4C6DD2E5311C} - \APSnotifierPP1 -> No File <==== ATTENTION
Task: {B31F638D-033D-4A14-B284-F11192199E33} - \APSnotifierPP3 -> No File <==== ATTENTION
Task: {C5708A84-91D7-4B66-BC21-18020F8F004D} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {C80125F7-CD04-4705-A121-12C658A30F26} - \WordShark Auto Updater 1.10.0.20 Pending Update -> No File <==== ATTENTION
Task: {CFF5F72A-5579-406E-95FA-6AC314B9BBB7} - \WordShark Auto Updater 1.10.0.20 Core -> No File <==== ATTENTION
Task: {E9394D6B-ED79-4EB2-897F-5B6B1B40A825} - \Crossbrowse -> No File <==== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[ezz]

Сделал. Скажите, а эти проверки и исправления только на текущего пользователя распространяются? Вот думаю, может мне надо под пользователя, который шифровальщика запустил, перелогиниться, а то я-то под админом.

Fixlog.txt

[Sandor]

а то я-то под админом

Все правильно, так и нужно.

 

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[ezz]

Зарегистрировался там и создал заявку ещё в четверг, но пока молчат.

Спасибо, Sandor.

[Sandor]

Удачи!