da_vinci_code

[Kurshaveli]

Здравствуйте,

 

Та же проблема что и у всех. Зашифрованы файлы da_vinci_code. Касперский на момент запуска вредоносного кода работал, несмотря на это вирус проник в компьютер и сделал свое дело, а Антивирус Касперского написал, что у него сбой. Помогите, пожалуйста, восстановить файлы.

 

Спасибо.

CollectionLog-2016.07.15-20.07.zip

[mike 1]

Деинсталлируйте:

mystartsearch uninstall
SavePass 1.1
Sense
Unity Web Player
YAC(Yet Another Cleaner!)

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[Kurshaveli]

Деинсталлировал.

AdwCleanerS1.txt

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Kurshaveli]

Очистил. Перезагрузил.

AdwCleanerC1.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Kurshaveli]

Ок.

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [] => [X]

HKLM-x32\...\Run: [mbot_ru_32] => [X]

HKLM-x32\...\Run: [FixCamera] => C:\Windows\FixCamera.exe

HKLM-x32\...\Run: [tsnpstd3] => C:\Windows\tsnpstd3.exe

GroupPolicy: Restriction - Chrome <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

BHO: Sense -> {11111111-1111-1111-1111-110611901159} -> C:\Program Files (x86)\Sense\Sense-bho64.dll => No File

BHO: SavePass 1.1 -> {11111111-1111-1111-1111-110611981129} -> C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho64.dll => No File

BHO-x32: Sense -> {11111111-1111-1111-1111-110611901159} -> C:\Program Files (x86)\Sense\Sense-bho.dll => No File

BHO-x32: SavePass 1.1 -> {11111111-1111-1111-1111-110611981129} -> C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho.dll => No File

R1 {72046701-0cbb-49f5-bb97-c718dc285f35}w64; C:\Windows\System32\drivers\{72046701-0cbb-49f5-bb97-c718dc285f35}w64.sys [48784 2015-01-10] (StdLib)

R1 {a6994947-8316-401e-82e4-23da215413fb}w64; C:\Windows\System32\drivers\{a6994947-8316-401e-82e4-23da215413fb}w64.sys [48784 2015-01-10] (StdLib)

2016-07-13 10:38 - 2016-07-13 19:30 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-07-13 10:38 - 2016-07-13 19:30 - 00000000 __SHD C:\ProgramData\Windows

2016-07-13 10:37 - 2016-07-15 19:16 - 00000022 _____ C:\Users\test\Downloads\doc8028-5417980.z

2016-07-13 10:37 - 2016-07-13 19:27 - 00000000 __SHD C:\Users\test\AppData\Roaming\Xl5jVVxcVWIx

Task: {06DA3B8E-4A2F-4443-995D-D7C44F55AE82} - \SMupdate1 -> No File <==== ATTENTION

Task: {12F59F04-845A-46DE-86A3-E32BA1924FB7} - \Microsoft\Windows\Multimedia\SMupdate3 -> No File <==== ATTENTION

Task: {6F74B5ED-EC3B-46A4-9B11-B51EA30CA178} - System32\Tasks\sup_games_notification_service => C:\Program Files (x86)\sup games\sup_games_notification_service.exe <==== ATTENTION

Task: {C89AAE58-7781-4745-AE57-87C9A7A8DB2F} - \sup_games_updating_service -> No File <==== ATTENTION

Task: {CE3B3000-5928-4F35-AB94-B3E3575B1F2F} - System32\Tasks\agames_helper_service => C:\Program Files (x86)\Agames\agames_helper_service.exe [2015-05-30] () <==== ATTENTION

Task: {FF4CD3F4-5F44-4EEB-8B9B-DD3F11BB9D52} - \Microsoft\Windows\Maintenance\SMupdate2 -> No File <==== ATTENTION

Task: C:\WINDOWS\Tasks\CSSWMHM.job => C:\Users\���� � ���\AppData\Roaming\CSSWMHM.exe <==== ATTENTION

Task: C:\WINDOWS\Tasks\DRTV.job => C:\Users\���� � ���\AppData\Roaming\DRTV.exe <==== ATTENTION

Task: C:\WINDOWS\Tasks\agames_helper_service.job => C:\Program Files (x86)\Agames\agames_helper_service.exe <==== ATTENTION

Task: C:\WINDOWS\Tasks\sup_games_notification_service.job => C:\Program Files (x86)\sup games\sup_games_notification_service.exeǥ/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='sup games' /appid='73143' /srcid='2913' /bic='2f22f33f36e59591f5dd31b95c150e9b' /verifier='a379c378f55214069c9fab1d459008fa' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif <==== ATTENTION

Hosts:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[Kurshaveli]

Ok

Fixlog.txt

[mike 1]

Сделайте лог полного сканирования MBAM.  http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/

[Kurshaveli]

ok

mbam-log.txt

[mike 1]

Удалите в MBAM все, кроме:

Файлы: 62
RiskWare.GameHack, E:\Games\LEGO The Hobbit\steam_api.dll, , [9d7aa87d0f8bc3738beb2f797f858a76], 
HackTool.Agent, E:\Программы\Activation\Windows 7 Loader v2.1.3 (Daz)\Windows Loader.exe, , [7f989a8ba2f881b58bddde44f908bd43], 
Backdoor.Rbot, E:\Программы\AIDA64\Beta\keygen.exe, , [9d7a5fc665350b2ba3e795fac44017e9], 
Backdoor.Rbot, E:\Программы\AIDA64\Final\keygen.exe, , [c84f32f3c7d3b581d9b1800fb450768a], 
Backdoor.Rbot, E:\Программы\AIDA64\Portable\keygen.exe, , [1dfad64f75256acc2f5bd9b6986ce020], 
HackTool.KMS, E:\Программы\Microsoft Office 2010 with SP2 VL [SELECT] Russian\KMS\KMSAuto v1.01.XP Portable\KMSAuto v1.01.XP Portable EN XP\KMSAutoXP.exe, , [9b7cb570faa0fe381a97049836cb5ba5], 
HackTool.KMS, E:\Программы\Microsoft Office 2010 with SP2 VL [SELECT] Russian\KMS\KMSAuto v1.01.XP Portable\KMSAuto v1.01.XP Portable RU XP\KMSAutoXP.exe, , [46d1c65f0b8f79bd3e738c103dc46f91], 
Trojan.Agent, E:\Программы\DJVU\djvureader\DjVuReader.exe, , [799e73b2eeac0f279532e959f9071ae6], 
Backdoor.Agent, E:\Программы\Alcohol_120%_1.9.8.7612_Retail\PatCh 5.0.0 RU by ChVL\Plugins\Helper\AlSrvN.exe, , [6fa8d64f346658de3f2eeb1cf30f1ae6], 
Backdoor.Bot, E:\Программы\Phoenix_1.5 beta 7\Phoenix.exe, , [44d3b96ce5b56acc0cecf983df2535cb], 
Trojan.Agent, E:\Программы\Phoenix_1.5 beta 7\Phx_data\Res\GCFMgr.exe, , [72a50421c4d60f271bc42a542fd525db], 
Backdoor.Bot, E:\Программы\Phoenix_1.5 beta 7\Phx_data\Res\ss.exe, , [a374bd683b5ffd394eaaf785b54ffa06], 
Trojan.Agent, E:\Программы\Phoenix_1.5 beta 7\Phx_data\Res\EmuCfg.exe, , [bf58b3723961181ed20d95e9b94b2dd3], 
RiskWare.Tool.HCK, E:\Программы\Radmin v. 3.4 + Генератор ключа(Активация)\keymaker.exe, , [cb4c44e14c4ebf776edf100af30f728e], 
Trojan.Agent, E:\Программы\Для администрирования\Dameware.NT.Utilities.v.6.8.1.0\keygen\Keygen.exe, , [6aad3aeb0a90f83e735e122a7290659b], 
RiskWare.Tool.CK, E:\Программы\Для администрирования\Dameware.NT.Utilities.v.6.8.1.0\keygen\keygen_old.exe, , [41d66bba9efc68ce15bcbbacef1157a9], 
HackTool.Agent, E:\Программы\КОМПАС-3D V13\KOMPAS-3D_V13_antiHASP_v1.0.exe, , [7c9bb07561394ee8ad7840c6d22e7090], 

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог (можно быстрое сканирование сделать).