код давинчи *.da_vinci_code

[Нарина]

Добрый день.

 

Пользователь пытался скачать из письма от контакта с верным адресом нижеуказанные файлы,

архив .zip по ссылке [удалено],

с файлом нестандартного расширения внутри

и пустой файл doc, который после скачивания пропадал с рабочего стола,был скрыт.

Все файлы на пк зашифровались в формат da_vinci_code.

 

Примечательно, что вирус снес настройки почты в thanderbird.

В системе отсутствовали точки восстановления.

 

Лицензия коммерческая на 545 дней, kav не отключалась пользователями.

Прилагаю отчет krt и AutoLogger:

1634.zip - архив содержащий файл со скриптом скачанный по ссылке,был запущен двойным кликом и невнимательностью.

 

Сообщение от модератора Mark D. Pearlstone

Не выкладывайте вредоносные файлы на форум.

отчет kvrt.rar

CollectionLog-2016.10.03-18.01.zip

Изменено 3 октября, 2016 пользователем mike 1

[mike 1]

Логи переделывайте без запущенного Cureit. 

[Нарина]

высылаю переделанный лог

и лог cureit

cureit.rar

CollectionLog-2016.10.04-12.58.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

 TerminateProcessByName('c:\programdata\windows\csrss.exe');

 DeleteFile('c:\programdata\windows\csrss.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером. 

[Нарина]

сделано

вот лог

CollectionLog-2016.10.04-16.01.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Нарина]

вот оба файла отчета

FRST.txt

Addition.txt

[mike 1]

Деинсталлируйте Spybot - Search & Destroy.

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM-x32\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

 

Глупо сидеть на антивирусе к которому уже базы не выпускают. Вот и досиделись.

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
2016-10-03 17:13 - 2016-10-03 17:13 - 00000000 ____D C:\Users\Анна\Downloads\1634
2016-10-03 17:10 - 2016-10-03 17:12 - 00010405 _____ C:\Users\Анна\Downloads\1634.zip
2016-10-03 17:09 - 2016-10-03 17:09 - 00125636 _____ C:\Users\Анна\Downloads\eFJ8Bk2zs.htm
2016-10-03 14:13 - 2016-10-03 14:13 - 06220854 _____ C:\Users\Анна\AppData\Roaming\9C39B8869C39B886.bmp
2016-10-03 14:13 - 2016-10-03 14:13 - 00004190 _____ C:\Users\Анна\Desktop\README9.txt
2016-10-03 14:13 - 2016-10-03 14:13 - 00004190 _____ C:\Users\Анна\Desktop\README8.txt
2016-10-03 14:13 - 2016-10-03 14:13 - 00004190 _____ C:\Users\Анна\Desktop\README7.txt
2016-10-03 14:13 - 2016-10-03 14:13 - 00004190 _____ C:\Users\Анна\Desktop\README6.txt
2016-10-03 14:13 - 2016-10-03 14:13 - 00004190 _____ C:\Users\Анна\Desktop\README5.txt
2016-10-03 14:13 - 2016-10-03 14:13 - 00004190 _____ C:\Users\Анна\Desktop\README4.txt
2016-10-03 14:13 - 2016-10-03 14:13 - 00004190 _____ C:\Users\Анна\Desktop\README3.txt
2016-10-03 14:13 - 2016-10-03 14:13 - 00004190 _____ C:\Users\Анна\Desktop\README2.txt
2016-10-03 14:13 - 2016-10-03 14:13 - 00004190 _____ C:\Users\Анна\Desktop\README10.txt
2016-10-03 13:23 - 2016-10-03 13:23 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-10-03 13:23 - 2016-10-03 13:23 - 00000000 __SHD C:\ProgramData\System32
2016-10-03 13:21 - 2016-10-04 15:48 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-03 13:21 - 2016-10-04 15:48 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\usar\AppData\Local\Temp\0OBEZ21NAML8.exe

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

[Нарина]

сделано.

по поводу касперского принято

Fixlog.txt

[mike 1]

Обновляйтесь до KES 10.

 

 

usar (S-1-5-21-38106172-3786564773-1353615222-1000 - Administrator - Enabled) => C:\Users\TEMP

Администратор (S-1-5-21-38106172-3786564773-1353615222-500 - Administrator - Enabled) => C:\Users\Администратор

Анна (S-1-5-21-38106172-3786564773-1353615222-1001 - Administrator - Enabled) => C:\Users\Анна

 

Наведите порядок с правами. Обычные пользователи не должны иметь прав админа. Смените все пароли. Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525