Перейти к содержанию

DA_VINCI_CODE из почты

altermim
 Поделиться

Рекомендуемые сообщения

altermim

altermim

Опубликовано
Опубликовано

Поймал по почте шифровальщик DA_VINCI_CODE, проверил компьютер утилитой вашей, вирус вроде был удален, но 1 диск зашифрован, ShadowExplorer не работает, на том диске восстановление было отключено. Прилагаю все собранные логи.

CollectionLog-2016.09.16-12.52.zip

mamh.rar

FSR.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Переделайте, пожалуйста, логи FRST. Утилиту запускайте правой кнопкой от имени администратора.

altermim

altermim

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Переделайте, пожалуйста, логи FRST. Утилиту запускайте правой кнопкой от имени администратора.

FRST.rar

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKU\S-1-5-21-1417001333-1563985344-725345543-1125\...\Run: [MailRuUpdater] => C:\Users\denis\AppData\Local\Mail.Ru\MailRuUpdater.exe [4157656 2016-09-12] (Mail.Ru)
HKU\S-1-5-21-1417001333-1563985344-725345543-1125\...\Run: [mrupdsrv] => C:\Users\denis\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe [2187992 2016-06-01] (Mail.Ru)
HKU\S-1-5-21-1417001333-1563985344-725345543-1125\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1417001333-1563985344-725345543-9228\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2016-09-15 15:21 - 2016-09-15 17:03 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-15 15:21 - 2016-09-15 17:03 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\artem\AppData\Local\Temp\coaCF05.tmp.exe
C:\Users\artem\AppData\Local\Temp\coaD0BB.tmp.exe
C:\Users\denis\AppData\Local\Temp\4b58-b66b-5ff9-7ffb.exe
C:\Users\denis\AppData\Local\Temp\amigo_setup.exe
C:\Users\denis\AppData\Local\Temp\D602.exe
C:\Users\denis\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\denis\AppData\Local\Temp\mrutmp.exe
Task: C:\Windows\Tasks\DSite.job => C:\Users\muzzy\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Следы очищены. С расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • per4ik
      label.exe - утилита метки диска грузит видеокарту
      Автор per4ik
      заметил повышение температуры на процессоре, и нагрузку на видеокарте, открыл диспетчер задач и заметил процесс label.exe. Снял задачу и резко упала температура с нагрузкой.
      скорее всего майнер, антивирус не видит, подскажите как можно решить проблему.
      Прикрепляю логи
      CollectionLog-2025.09.20-20.29.zip
    • LaVVINa
      Подселился Trojan.Packed2.49814. Восстанавливается сам, не смогла удалить
      Автор LaVVINa
      Добрый день! 
      Либо через расширения для хрома, либо через игры с торрента занесла вирус. Неймингуется Trojan.Packed2.49814
      Через безопасный режим виндовс не убирается, возвращается.
      Помогите, пожалуйста, убрать его 🙏
      CollectionLog-2025.09.19-21.18.zip
    • volanchics
      Обнаружена активная вредоносная программа HEUR:Trojan.Win32.Miner.pef
      Автор volanchics
      Сегодня Касперский выдал такое сообщение: Обнаружена активная вредоносная программа HEUR:Trojan.Win32.Miner.pef
      Всплывает вот такое окно. Нажимаю Вылечить, пишет - удалено. Но через пару секунд всё повторяется. А чуть позже стало появляться еще и вот такое сообщение.. Как убрать этот вирус?


    • deamonlal
      Вирус (майнер) на компьютере
      Автор deamonlal
      Добрый день! Столкнулся с подозрительным поведением компьютера. При не использовании в течении 10 минут, начинает громко работать куллер процессора (когда экран монитора погас). Предполагаю, что это майнер. Думаю, он появился после скачивания и установки одной из пиратских игр. Прошу у вас помощи в его удалении!
      Логи из AutoLogger'а прикрепляю.

      Заранее спасибо!
      CollectionLog-2025.09.18-13.18.zip
    • Sp1kon
      [РЕШЕНО] Не могу удалить Trojan.BitCoinMiner, Trojan MalPack.Themida
      Автор Sp1kon
      Здравствуйте, не могу удалить вирусы. Уже даже читал посты на вашем форуме, но все же не получается от них избавиться. При каждой загрузке системы запускается cmd и PowerShell
      После чего антивирус ловит данные вирусы и помещает в карантин. Скриншот приложил. 
      Скачал uvs_latest, вот "Полный образ автозапуска." прикрепил в архиве. Помогите пожалуйста...

      DESKTOP-NL0I2HI_2025-09-18_09-21-22_v5.0.1v x64.7z
×
×
  • Создать...