aleks-oren Опубликовано 6 октября, 2016 Share Опубликовано 6 октября, 2016 (изменено) Добрый день! Мы являемся пользователями продукта лаборатории Касперского. 05.10.2016, компьютер заразился вирусом da vinchi. Все файлы - зашифрованы. При сканировании системы антивирусом были обнаружены два вируса (в прикрепленных файлах) Убедительно просим, оказать помощь в решении данного вопроса. CollectionLog-2016.10.06-13.48.zip Изменено 6 октября, 2016 пользователем Sandor Прикрепляйте к сообщению только то, что просят. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 6 октября, 2016 Share Опубликовано 6 октября, 2016 (изменено) Здравствуйте! Мы являемся пользователями продукта лаборатории КасперскогоОднако в логах видны следы ESET Endpoint Antivirus, а вот продуктов антивируса Касперского не видно. Через Панель управления - Удаление программ - удалите нежелательное ПО: AnyProtect AnySend ConvertAd desktopy desktopy.ru eTranslator HappyApp version 1.45 IGS igsc omiga-plus uninstall Remote Desktop Access (VuuPC) Ribble Search Snacks 1.10.0.1 SmartWeb Software Version Updater SpeedCheck WinCheck Winner Download Manager Следы ESET удалите по инструкции: Чистка системы после некорректного удаления антивируса. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Dorrible\Ribble\d.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Ribble" /F', 0, 15000, true); DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe', '32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Dorrible\Ribble\d.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wjukmxyyxk'); DeleteService('WindowsMangerProtect'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Изменено 6 октября, 2016 пользователем Sandor Ссылка на комментарий Поделиться на другие сайты More sharing options...
aleks-oren Опубликовано 6 октября, 2016 Автор Share Опубликовано 6 октября, 2016 Отчёт о работе в виде файла ClearLNK-<Дата>.log Повторный лог. ClearLNK-06.10.2016_16-37.log CollectionLog-2016.10.06-16.54.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 6 октября, 2016 Share Опубликовано 6 октября, 2016 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\Администратор\downloads\zimwuo2v.exe'); TerminateProcessByName('c:\users\администратор\appdata\local\temp\e020f850-9a810c74-338a2fca-68df4a42\coetjyh42d4wee.exe'); TerminateProcessByName('c:\users\администратор\appdata\local\temp\e020f850-9a810c74-338a2fca-68df4a42\urckjmikj.exe'); QuarantineFile('C:\Users\Администратор\AppData\Roaming\VOPackage\VOsrv.exe',''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\ASPackage\ASSrv.exe',''); QuarantineFile('c:\users\Администратор\downloads\zimwuo2v.exe',''); QuarantineFile('c:\users\администратор\appdata\local\temp\e020f850-9a810c74-338a2fca-68df4a42\urckjmikj.exe', ''); QuarantineFile('c:\users\администратор\appdata\local\temp\E020F850-9A810C74-338A2FCA-68DF4A42\18c53ee0e.sys', ''); DeleteFile('c:\users\Администратор\downloads\zimwuo2v.exe','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\ASPackage\ASSrv.exe','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\VOPackage\VOsrv.exe','32'); DeleteFile('c:\users\администратор\appdata\local\temp\e020f850-9a810c74-338a2fca-68df4a42\urckjmikj.exe', '32'); DeleteFile('c:\users\администратор\appdata\local\temp\E020F850-9A810C74-338A2FCA-68DF4A42\18c53ee0e.sys', '32'); DeleteService('servervo'); DeleteService('serveras'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
aleks-oren Опубликовано 7 октября, 2016 Автор Share Опубликовано 7 октября, 2016 KLAN-5126239731 KLAN-5129826809 KLAN-5129894599 Отчет сканирования программой AdwCleaner AdwCleanerS0.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 7 октября, 2016 Share Опубликовано 7 октября, 2016 1. Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
aleks-oren Опубликовано 7 октября, 2016 Автор Share Опубликовано 7 октября, 2016 Повторное сканирование компьютера Отчет по работе программы "FRST" AdwCleanerC0.txt Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 8 октября, 2016 Share Опубликовано 8 октября, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-4170536307-1373731666-2327365651-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1423109532&from=face&uid=ST500DM002-1BD142_Z3TA0ZW7XXXXZ3TA0ZW7 OPR StartupUrls: "hxxp://fmav.ru/?utm_source=startpage03&utm_content=2ff67950a2c697a3309ae8c9aae1854c" OPR Extension: (Универсальный перевод для Chrome) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcnhkahnjcbndmmehfkdnkjomaanaooo [2015-04-22] 2016-10-07 08:42 - 2016-10-07 08:42 - 00928483 _____ C:\Users\Администратор\AppData\Roaming.rar 2016-10-07 08:42 - 2016-10-07 08:42 - 00928476 _____ C:\Users\Администратор\AppData\csrss.rar 2016-10-06 09:53 - 2016-10-06 09:53 - 00952706 _____ C:\Users\Администратор\AppData\csrss.exe 2016-10-05 14:05 - 2016-10-06 09:53 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-10-05 14:05 - 2016-10-06 09:53 - 00000000 __SHD C:\ProgramData\Windows 2016-10-05 14:05 - 2016-10-05 14:05 - 00952706 _____ C:\Users\Администратор\AppData\Roaming.Exe 2016-10-05 14:05 - 2016-10-05 14:05 - 00004170 _____ C:\README9.txt 2016-10-05 14:05 - 2016-10-05 14:05 - 00004170 _____ C:\README8.txt 2016-10-05 14:05 - 2016-10-05 14:05 - 00004170 _____ C:\README7.txt 2016-10-05 14:05 - 2016-10-05 14:05 - 00004170 _____ C:\README6.txt 2016-10-05 14:05 - 2016-10-05 14:05 - 00004170 _____ C:\README5.txt 2016-10-05 14:05 - 2016-10-05 14:05 - 00004170 _____ C:\README4.txt 2016-10-05 14:05 - 2016-10-05 14:05 - 00004170 _____ C:\README3.txt 2016-10-05 14:05 - 2016-10-05 14:05 - 00004170 _____ C:\README2.txt 2016-10-05 14:05 - 2016-10-05 14:05 - 00004170 _____ C:\README10.txt 2016-10-05 14:05 - 2016-10-05 14:05 - 00004170 _____ C:\README1.txt Task: {E6E5B7AF-F443-49CE-8E6C-58F9FC4FE13C} - System32\Tasks\SpeedCheck Update => C:\Program Files\ver9SpeedCheck\w2SpeedCheckH83.exe Task: C:\Windows\Tasks\SpeedCheck Update.job => C:\Program Files\ver9SpeedCheck\w2SpeedCheckH83.exe MSCONFIG\startupreg: desktopy => "C:\Users\Администратор\AppData\Roaming\desktopy.ru\desktopy.exe" is_autoruned MSCONFIG\startupreg: KometaAutoLaunch_40792021E283A369314492FA0F17A1E3 => "C:\Users\Администратор\AppData\Local\Kometa\Application\kometa.exe" --no-startup-window MSCONFIG\startupreg: screentk => C:\Users\Администратор\AppData\Local\screentk\screentool.exe MSCONFIG\startupreg: screentoolkit.exe => C:\Users\Администратор\AppData\Local\screentk\screentoolkit.exe MSCONFIG\startupreg: Screeny => C:\Users\Администратор\AppData\Local\Screeny\Screeny.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
aleks-oren Опубликовано 10 октября, 2016 Автор Share Опубликовано 10 октября, 2016 Отчет выполнения скрипта Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 10 октября, 2016 Share Опубликовано 10 октября, 2016 Рекламное ПО и следы вымогателя очищены. С расшифровкой помочь не сможем. При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Ссылка на комментарий Поделиться на другие сайты More sharing options...
aleks-oren Опубликовано 12 октября, 2016 Автор Share Опубликовано 12 октября, 2016 Благодарю за помощь! Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 12 октября, 2016 Share Опубликовано 12 октября, 2016 Смените важные пароли, могли быть украдены. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти