Давинчи проблема с файлами

[ingvar78]

Доброй ночи, подцепили давинчи, возможна ли дэшифровка \ как вылечить подскажите пожалуйста?

 

CollectionLog-2016.06.01-00.41.zip

Addition.txt

FRST.txt

Изменено 31 мая, 2016 пользователем ingvar78

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Funmoods

MiPony 2.0.2

Mobogenie

Ticno Downloader

Амиго

Интернет

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\csrss\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\programdata\csrss\csrss.exe', '');
 QuarantineFile('C:\Users\Жи гада\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '');
 QuarantineFile('C:\Users\Жи гада\AppData\Local\Temp\mhwqf.exe', '');
 QuarantineFile('C:\Users\Жи гада\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ANGZHDTP\sp54127[1].exe', '');
 QuarantineFile('C:\Users\Жи гада\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Войти в Интернет.lnk', '');
 QuarantineFile('C:\Users\Жи гада\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет\Войти в Интернет.lnk', '');
 QuarantineFile('C:\Users\Жи гада\Desktop\Войти в Интернет.lnk', '');
 DeleteFile('C:\Windows\Tasks\r0g9u19uh5.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "{AD0E6630-976E-431B-87DC-CCF0A4E093A8}" /F', 0, 15000, true);
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\programdata\csrss\csrss.exe', '32');
 DeleteFile('C:\Users\Жи гада\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '32');
 DeleteFile('C:\Users\Жи гада\AppData\Local\Temp\mhwqf.exe', '32');
 DeleteFile('C:\Users\Жи гада\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ANGZHDTP\sp54127[1].exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[ingvar78]

логи.

KLAN-4374827562

Спасибо большое, за поддержку.

ClearLNK-01.06.2016_01-37.log

CollectionLog-2016.06.01-01.53.zip

Изменено 1 июня, 2016 пользователем ingvar78

[ingvar78]

Подскажите пожалуйста, есть ли возможность расшифровать ?

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ingvar78]

сканы

Addition.txt

FRST.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

BrowseMark

DealPly

Download Manager Packages

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FyDzytB0Fzz0CyCtDyCtBtN0D0Tzu0CtAyEtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1361524828
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FyDzytB0Fzz0CyCtDyCtBtN0D0Tzu0CtAyEtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1361524828
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FyDzytB0Fzz0CyCtDyCtBtN0D0Tzu0CtAyEtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1361524828
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FyDzytB0Fzz0CyCtDyCtBtN0D0Tzu0CtAyEtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1361524828
SearchScopes: HKU\S-1-5-21-2455070954-465789065-3712708018-1000 -> yandex.ru-210326 URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FyDzytB0Fzz0CyCtDyCtBtN0D0Tzu0CtAyEtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1361524828
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: DealPly -> {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} -> C:\Program Files (x86)\DealPly\DealPlyIE.dll => No File
Toolbar: HKU\S-1-5-21-2455070954-465789065-3712708018-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR Extension: (Funmoods Chat) - C:\Users\Жи гада\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbjciahceamgodcoidkjpchnokgfpphh [2014-08-29]
CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\6A69~1\AppData\Local\funmoods.crx [2012-12-08]
CHR HKU\S-1-5-21-2455070954-465789065-3712708018-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\6A69~1\AppData\Local\funmoods.crx [2012-12-08]
CHR HKLM-x32\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\6A69~1\AppData\Local\funmoods.crx [2012-12-08]
2016-06-01 01:31 - 2016-06-01 01:31 - 00000178 _____ C:\Users\Жи гада\Desktop\Искать в Интернете.url
2016-05-30 18:26 - 2016-06-01 01:34 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-05-30 18:26 - 2016-06-01 01:34 - 00000000 __SHD C:\ProgramData\Csrss
2016-05-30 18:25 - 2016-05-30 18:25 - 01843254 _____ C:\Users\Жи гада\AppData\Roaming\7AED922C7AED922C.bmp
2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README9.txt
2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README8.txt
2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README7.txt
2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README6.txt
2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README5.txt
2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README4.txt
2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README3.txt
2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README2.txt
2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README10.txt
2016-05-30 18:25 - 2016-05-30 18:25 - 00002714 _____ C:\Users\Жи гада\Desktop\README1.txt
2016-05-30 18:08 - 2016-06-01 01:34 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-30 18:08 - 2016-06-01 01:34 - 00000000 __SHD C:\ProgramData\Windows
2016-06-02 10:53 - 2014-02-12 09:43 - 00000298 _____ C:\Windows\Tasks\Funmoods.job
2016-06-01 01:30 - 2013-03-17 10:02 - 00000000 ____D C:\Users\Жи гада\AppData\Roaming\Ticno
2016-06-01 01:30 - 2013-03-17 10:02 - 00000000 ____D C:\Program Files (x86)\Ticno
C:\Users\Жи гада\AppData\Local\Temp\29793uninstall.exe
C:\Users\Жи гада\AppData\Local\Temp\B0C3C6FA.exe
C:\Users\Жи гада\AppData\Local\Temp\ba62-3268-3d12-5ddb.exe
Task: {2C2AE2D1-15A2-49AF-9FE5-69ACA742D629} - System32\Tasks\DealPly => C:\Users\6A69~1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {3558C183-F5B7-4B81-AA86-3C387C4C2894} - System32\Tasks\Yahoo! Search Updater => Wscript.exe //B "C:\Users\Жи гада\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.26.12\..\updt.js" <==== ATTENTION
Task: {CD0C45F9-992C-44BC-82C5-5675DE83FDD5} - System32\Tasks\DSite => C:\Users\6A69~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {DB7B2381-6901-4321-9329-229300C36D77} - System32\Tasks\Funmoods => C:\Users\Жи гада\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe [2013-04-12] () <==== ATTENTION
Task: {FA3FBF8E-7334-4306-B17A-842A9078212A} - System32\Tasks\DealPlyUpdate => C:\Program Files (x86)\DealPly\DealPlyUpdate.exe [2013-01-16] (DealPly) <==== ATTENTION
Task: C:\Windows\Tasks\Funmoods.job => C:\Users\6A69~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
FirewallRules: [TCP Query User{C1B603B0-9D85-436E-855C-C5CA21AB10A2}C:\users\жи гада\appdata\roaming\ticno\downloader\downloader.exe] => (Allow) C:\users\жи гада\appdata\roaming\ticno\downloader\downloader.exe
FirewallRules: [UDP Query User{9513069B-4D53-4A57-9535-E0D86D416BA5}C:\users\жи гада\appdata\roaming\ticno\downloader\downloader.exe] => (Allow) C:\users\жи гада\appdata\roaming\ticno\downloader\downloader.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[ingvar78]

фикс_лог

Fixlog.txt

[Sandor]

С расшифровкой не поможем.