Перейти к содержанию

DA_VINCI_CODE из почты

altermim
 Поделиться

Рекомендуемые сообщения

altermim

altermim

Опубликовано
Опубликовано

Поймал по почте шифровальщик DA_VINCI_CODE, проверил компьютер утилитой вашей, вирус вроде был удален, но 1 диск зашифрован, ShadowExplorer не работает, на том диске восстановление было отключено. Прилагаю все собранные логи.

CollectionLog-2016.09.16-12.52.zip

mamh.rar

FSR.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Переделайте, пожалуйста, логи FRST. Утилиту запускайте правой кнопкой от имени администратора.

altermim

altermim

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Переделайте, пожалуйста, логи FRST. Утилиту запускайте правой кнопкой от имени администратора.

FRST.rar

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKU\S-1-5-21-1417001333-1563985344-725345543-1125\...\Run: [MailRuUpdater] => C:\Users\denis\AppData\Local\Mail.Ru\MailRuUpdater.exe [4157656 2016-09-12] (Mail.Ru)
HKU\S-1-5-21-1417001333-1563985344-725345543-1125\...\Run: [mrupdsrv] => C:\Users\denis\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe [2187992 2016-06-01] (Mail.Ru)
HKU\S-1-5-21-1417001333-1563985344-725345543-1125\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1417001333-1563985344-725345543-9228\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2016-09-15 15:21 - 2016-09-15 17:03 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-15 15:21 - 2016-09-15 17:03 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\artem\AppData\Local\Temp\coaCF05.tmp.exe
C:\Users\artem\AppData\Local\Temp\coaD0BB.tmp.exe
C:\Users\denis\AppData\Local\Temp\4b58-b66b-5ff9-7ffb.exe
C:\Users\denis\AppData\Local\Temp\amigo_setup.exe
C:\Users\denis\AppData\Local\Temp\D602.exe
C:\Users\denis\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\denis\AppData\Local\Temp\mrutmp.exe
Task: C:\Windows\Tasks\DSite.job => C:\Users\muzzy\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Следы очищены. С расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...