Поймал трояна-шифровальщика da_vinci_code

[maybach777]

Здравствуйте!

Компьютер был заражен через вложение в письме трояном da_vinci_code

Компьютер был пролечен утилитой Kaspersky Rescue Disk 10

и потом установленным антивирусом Dr.Web Security Space 11.

 

Хочу убедиться что щифровальщик удален с компьютера

 

Логи  Farbar Recovery Scan Tool прилагаю

 

Есть ли уже случаи расшифровки службой Техподдержки файлов .da_vinci_code?

FRST.txt

Shortcut.txt

Addition.txt

[Sandor]

Здравствуйте!

 

Начните с отчетов по правилам.

[maybach777]

Здравствуйте!

 

Начните с отчетов по правилам.

Создал лог

CollectionLog-2016.10.13-20.25.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Csrss\csrss.exe', '');
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Csrss\csrss.exe', '32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[maybach777]

Лог повторил

CollectionLog-2016.10.13-21.54.zip

[Sandor]

Удалите старые и соберите новые логи FRST.

[maybach777]

Удалите старые и соберите новые логи FRST.

FRST.txt

Shortcut.txt

Addition.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-3829145886-4170465736-3822527919-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mail.ru/cnt/7227
SearchScopes: HKU\S-1-5-21-3829145886-4170465736-3822527919-1000 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = hxxp://superru.net/?q={searchTerms}&utm_medium=ise&utm_source=sk&utm_campaign=bp&utm_content=11-09
SearchScopes: HKU\S-1-5-21-3829145886-4170465736-3822527919-1000 -> {691FEF59-4808-40AA-B9A7-9CD42EB9C2BF} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=kw&q={searchTerms}&locale=ru_RU&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^RU&apn_uid=26c8ee55-29c0-4aa0-ba67-b79eb8d3958d&apn_sauid=52EFFD05-6DA0-4446-B7B8-BA32F2529448
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3829145886-4170465736-3822527919-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3829145886-4170465736-3822527919-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
Toolbar: HKU\S-1-5-21-3829145886-4170465736-3822527919-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\dfpbaopcdgpcdekggfendghkgfdmojog [2015-01-16]
CHR Extension: (Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\jggbjbmnfmipgcanidamjfpechdeekoi [2014-10-02]
2016-10-09 01:30 - 2016-10-11 18:02 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-10-09 01:30 - 2016-10-11 18:02 - 00000000 __SHD C:\ProgramData\Csrss
2016-10-08 18:09 - 2016-10-08 18:09 - 03148854 _____ C:\Users\User\AppData\Roaming\64CE19D964CE19D9.bmp
2016-10-08 18:09 - 2016-10-08 18:09 - 00004170 _____ C:\Users\User\Desktop\README9.txt
2016-10-08 18:09 - 2016-10-08 18:09 - 00004170 _____ C:\Users\User\Desktop\README8.txt
2016-10-08 18:09 - 2016-10-08 18:09 - 00004170 _____ C:\Users\User\Desktop\README7.txt
2016-10-08 18:09 - 2016-10-08 18:09 - 00004170 _____ C:\Users\User\Desktop\README6.txt
2016-10-08 18:09 - 2016-10-08 18:09 - 00004170 _____ C:\Users\User\Desktop\README5.txt
2016-10-08 18:09 - 2016-10-08 18:09 - 00004170 _____ C:\Users\User\Desktop\README4.txt
2016-10-08 18:09 - 2016-10-08 18:09 - 00004170 _____ C:\Users\User\Desktop\README3.txt
2016-10-08 18:09 - 2016-10-08 18:09 - 00004170 _____ C:\Users\User\Desktop\README10.txt
2016-10-08 18:09 - 2016-10-08 18:09 - 00004170 _____ C:\Users\User\Desktop\README1.txt
2016-10-08 03:34 - 2016-10-11 18:03 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-08 03:34 - 2016-10-11 18:03 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.