вирус da_vinci_code

[i5904]

Добрый день, поймали вирус на компьютер (пришло письмо на почту, с вложением на официальном облаке мэйл, вложение - архив, в архиве один файл - javascript, причем на странице с сайта облака было написано "Проверено антивирусом Kaspersky. Вирусов нет", мб это была картинка я внимания не обратил, письмо уже удалил и проверить эту догадку не могу, пользователь по неопытности запустил скрипт). В итоге зашифрованы все файлы.
 

На компьютере был установлен AVP 6.0 MP4 с устаревшими базами, он не сругался.

Вручную сначала удалил csrss.exe из c:\programdata\windows\ (вроде такой путь), после перезагрузки он не восстановился и не запустился. Установил 10ого Kaspersky, у нас корпоративная версия (лицензия на УФНС по Пермскому краю)

 

KVRT тоже не нашел угроз.

Хотелось бы расшифровать все файлы.

CollectionLog-2016.09.22-12.22.zip

Изменено 22 сентября, 2016 пользователем i5904

[Sandor]

Здравствуйте!

 

DNS Unlocker version 1.4 - ставили самостоятельно? Если нет, деинсталлируйте.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteRepair(22);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.