Da Vinci Code документы

[prizrak_a 0]

добрый день.

 

Открыли зараженное письмо...

CollectionLog-2016.07.14-10.21.zip

Addition.txt

FRST.txt

Shortcut.txt

[Sandor 1 282]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe', '');
 QuarantineFile('C:\WINDOWS\system32\el32.dll', '');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[prizrak_a 0]

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

 

csrss.exe - Trojan.Win32.Fsysna.doqg

 

Детектирование файла будет добавлено в следующее обновление.

 

el32.dll,

bcqr00003.dat,

bcqr00004.dat

 

Вредоносный код в файлах не обнаружен.

 

С уважением, Лаборатория Касперского

 

 

[KLAN-4681865317]

[Sandor 1 282]

Жду повторный лог.

[prizrak_a 0]

Что дальше?

[thyrex 1 493]

Прочтите последний абзац в сообщении №2

[prizrak_a 0]

Сори. Логи

Addition.txt

CollectionLog-2016.07.14-12.21.zip

FRST.txt

Shortcut.txt

[Sandor 1 282]

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFileF('C:\Documents and Settings\glabbuh\Application Data\Xl5jVVxcVWIx', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\glabbuh\Application Data\766918.exe', '');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1957994488-879983540-839522115-1003\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-07-14 09:41 - 2016-07-14 09:41 - 02949174 _____ C:\Documents and Settings\glabbuh\Application Data\1788479017884790.bmp
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README9.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README8.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README7.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README6.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README5.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README4.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README3.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README2.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README10.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\glabbuh\Рабочий стол\README1.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-07-14 09:41 - 2016-07-14 09:41 - 00002734 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README9.txt
2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README8.txt
2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README7.txt
2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README6.txt
2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README5.txt
2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README4.txt
2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README3.txt
2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README2.txt
2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README10.txt
2016-07-14 08:08 - 2016-07-14 08:08 - 00002734 _____ C:\README1.txt
2016-07-14 07:58 - 2016-07-14 11:17 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-07-14 07:58 - 2016-07-14 07:58 - 00913231 _____ (FLash iop the profiles of people named Muiko Miyamoto ) C:\Documents and Settings\glabbuh\Application Data\766918.exe
2016-07-14 07:57 - 2016-07-14 07:58 - 00000000 __SHD C:\Documents and Settings\glabbuh\Application Data\Xl5jVVxcVWIx
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[prizrak_a 0]

 

Лог

Fixlog.txt

[Sandor 1 282]

Карантин повторно отправили? Сообщите, пожалуйста, ответ.

[prizrak_a 0]

Да:

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

 

twunk_lb.exe - Trojan-Ransom.Win32.Shade.yc

 

Детектирование файла будет добавлено в следующее обновление.

 

766918.exe

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

[KLAN-4682196094]

[Sandor 1 282]

Спасибо!

 

Вирус и его следы уничтожены. С расшифровкой помочь не сможем.

[prizrak_a 0]

Спасибо....