Перейти к содержанию

Вирус DA_VINCI_CODE

Alexan13n
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Webalta Toolbar

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Alexan13n

Alexan13n

Опубликовано
  • Автор
Опубликовано

KLAN-5311490502

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

CollectionLog-2016.11.09-11.20.zip

ClearLNK-09.11.2016_11-04.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Служба автоматического обновления программ

по-прежнему в списке установленных программ. Не удаляется?

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
AppInit_DLLs: C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll => No File
AppInit_DLLs:  C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll => No File
AppInit_DLLs-x32: C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\datamngr.dll => No File
AppInit_DLLs-x32:  C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\IEBHO.dll => No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://fuxio.net/
HKU\S-1-5-21-2519818115-1432138584-2200789101-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
HKU\S-1-5-21-2519818115-1432138584-2200789101-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://fuxio.net/
HKU\S-1-5-21-2519818115-1432138584-2200789101-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
HKU\S-1-5-21-2519818115-1432138584-2200789101-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
URLSearchHook: HKU\S-1-5-21-2519818115-1432138584-2200789101-1001 - (No Name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
SearchScopes: HKLM -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=710&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=710&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=710&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2519818115-1432138584-2200789101-1000 -> yandex.ru-102810 URL = hxxp://dts.search-results.com/sr?src=ieb&appid=710&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2519818115-1432138584-2200789101-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} -> No File
Toolbar: HKLM - No Name - !{17679b4f-3bcc-644b-8f28-a47597fbb905} -  No File
Toolbar: HKLM - No Name - !{91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKLM - No Name - !{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} -  No File
Toolbar: HKLM-x32 - No Name - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} -  No File
Toolbar: HKLM-x32 - No Name - !{17679b4f-3bcc-644b-8f28-a47597fbb905} -  No File
Toolbar: HKLM-x32 - No Name - !{91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKLM-x32 - No Name - !{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {17679b4f-3bcc-644b-8f28-a47597fbb905} -  No File
Toolbar: HKU\S-1-5-21-2519818115-1432138584-2200789101-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-2519818115-1432138584-2200789101-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-2519818115-1432138584-2200789101-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2519818115-1432138584-2200789101-1000 -> No Name - {17679b4f-3bcc-644b-8f28-a47597fbb905} -  No File
Toolbar: HKU\S-1-5-21-2519818115-1432138584-2200789101-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
OPR Extension: (Яндекс) - C:\Users\Ксюша\AppData\Roaming\Opera Software\Opera Stable\Extensions\akkhkcocfnopiccplnimkefmaejepdlj [2015-01-20]
2016-11-07 11:55 - 2016-11-07 11:55 - 03148854 _____ C:\Users\Ксюша\AppData\Roaming\33D8DA9333D8DA93.bmp
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Ксюша\Desktop\README9.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Ксюша\Desktop\README8.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Ксюша\Desktop\README7.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Ксюша\Desktop\README6.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Ксюша\Desktop\README5.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Ксюша\Desktop\README4.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Ксюша\Desktop\README3.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Ксюша\Desktop\README2.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Ксюша\Desktop\README10.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Ксюша\Desktop\README1.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Public\Desktop\README9.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Public\Desktop\README8.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Public\Desktop\README7.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Public\Desktop\README6.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Public\Desktop\README5.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Public\Desktop\README4.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Public\Desktop\README3.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Public\Desktop\README2.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Public\Desktop\README10.txt
2016-11-07 11:55 - 2016-11-07 11:55 - 00004210 _____ C:\Users\Public\Desktop\README1.txt
2016-11-03 11:07 - 2016-11-07 11:46 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-11-03 11:07 - 2016-11-07 11:46 - 00000000 __SHD C:\ProgramData\System32
2016-11-03 11:06 - 2016-11-03 11:06 - 00004210 _____ C:\README9.txt
2016-11-03 11:06 - 2016-11-03 11:06 - 00004210 _____ C:\README8.txt
2016-11-03 11:06 - 2016-11-03 11:06 - 00004210 _____ C:\README7.txt
2016-11-03 11:06 - 2016-11-03 11:06 - 00004210 _____ C:\README6.txt
2016-11-03 11:06 - 2016-11-03 11:06 - 00004210 _____ C:\README5.txt
2016-11-03 11:06 - 2016-11-03 11:06 - 00004210 _____ C:\README4.txt
2016-11-03 11:06 - 2016-11-03 11:06 - 00004210 _____ C:\README3.txt
2016-11-03 11:06 - 2016-11-03 11:06 - 00004210 _____ C:\README2.txt
2016-11-03 11:06 - 2016-11-03 11:06 - 00004210 _____ C:\README10.txt
2016-11-03 11:06 - 2016-11-03 11:06 - 00004210 _____ C:\README1.txt
2016-11-03 11:05 - 2016-11-07 12:50 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-03 11:05 - 2016-11-07 12:50 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Ксюша\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Ксюша\AppData\Local\Temp\DeliciousEmilysTasteOfFameRus_1722.exe
C:\Users\Ксюша\AppData\Local\Temp\GuardMailRu.exe
C:\Users\Ксюша\AppData\Local\Temp\lite_installer.exe
C:\Users\Ксюша\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Ксюша\AppData\Local\Temp\sender.exe
C:\Users\Ксюша\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Ксюша\AppData\Local\Temp\SkyCrewCollectorsEditionRus_1722.exe
C:\Users\Ксюша\AppData\Local\Temp\Uninstall.exe
C:\Users\Ксюша\AppData\Local\Temp\ya_downloader.exe
C:\Users\Ксюша\AppData\Local\Temp\yupdate-exec-yabrowser.exe
C:\Users\Ксюша\AppData\Local\Temp\{B834211A-9413-4909-93EE-ABE5B829CB4D}-GoogleUpdateSetup.exe
Task: {36A96992-2A96-42EA-BB7B-4B00D846BEBB} - System32\Tasks\SystemScript => C:\Users\Ксюша\AppData\Local\Microsoft\Windows\toolbar.exe
Task: {BEA792C7-7CE9-4E7A-929A-F78B6B032D95} - System32\Tasks\MailRuUpdater => C:\Users\Ксюша\AppData\Local\Mail.Ru\MailRuUpdater.exe [2016-09-23] (Mail.Ru)
Task: {D13394F5-ABD3-420D-8E6C-8F4A444D9F8A} - System32\Tasks\MailRuUpdateTask => C:\Users\Ксюша\AppData\Local\Mail.Ru\MailRuUpdater.exe [2016-09-23] (Mail.Ru)
AlternateDataStreams: C:\Users\Ксюша\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Ксюша\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Ксюша\AppData\Local\Application Data:wa [146]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Alexan13n

Alexan13n

Опубликовано
  • Автор
Опубликовано (изменено)

Перезагрузился, при нажатии на иконку пользователя вылезла ошибка CRC, недостаточно памяти и еще что то, перезагрузил принудительно, вылезла командная строка REG DELETE? операция успешно завершена повторялось, закрыл. Почему то создалось 2 отчета.

AdwCleanerC0.txt

AdwCleanerS1.txt

Изменено пользователем Alexan13n
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • monstr878
      Непонятный вирус!
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
    • LexaSLX
      Вирус-шифровальщик, вымогатель
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • alexansh
      Если вирус был на андроиде UDS:Trojan.AndroidOS.Piom.bngd
      Автор alexansh
      На смартфоне
      Версия Android 9 PPR1.180610.011
      Проверял антивирусом
      Kaspersky Free 
      Версия 11.124.4.14286
      Вирус: UDS:Trojan.AndroidOS.Piom.bngd
      -----------------------------------------------
      Если на смартфоне при открытии приложения "Сбербанк" появилось сообщение, что обнаружен вирус "UDS:Trojan.AndroidOS.Piom.bngd" 
      и при этом давалась возможность удалить этот вирус, что я и сделал (удалил его).
      В тех.поддержке Сбербанка мне сказали, что этот вирус был в прошивке смартфона, и что теперь уже он удалён модулем Касперского.
      Также сказали, что какие могут быть последствия от этого вируса, они не знают.
      Рекомендовали обратиться в Лабораторию Касперского.
      После этого на смартфоне иногда возникали торможения - черный экран во время работы на некоторое время и черный экран при перезагрузке на некоторое время.
      Кнопками можно было вывести смартфон в нормальное состояние. Но в основном смартфон работает нормально.
      **********************************************************************************************************************************
      Хотел узнать, что это за троян, что он делает, какие возможные последствия и как его можно побороть ?
      И лечится ли он антивирусом, если находится в прошивке ? (ведь при входе в приложение Сбербанк вирус был удален из прошивки).
      И как "очистить" прошивку, чтобы быть уверенным, что там всё в порядке ?
      И как избавиться от последствий этого трояна ?

    • Eugenij_
      Вирус в оперативке видеокарты
      Автор Eugenij_
      Здравствуйте. Сегодня поймал удивительного вируса. Купил видеокарту недорого. На Озоне. Говорят, на витрине стояла. 1070. Воткнул. Начал ставить драйвера. Смотрю. У меня архивчик на рабочем столе сам мелькнул. И пропал. Я, естественно, шнур интернета выдернул. И перезагузился в линукс. И начал наблюдать удивительную картину, как у меня в папку загрузки сыплется софт. Я его удаляю, а он снова летит. Там даже сервер под винду падал. Денвер. Драйвера на мою материнку...  Касперский ни звука. Ладно, гружу винду в безопасном режиме. Лезу в службы и обнруживаю драйвер Рам диска. И отключить зараза не даёт. Отдавать не хочу. Интересно сбороть. Тут, наверное, только биос шить? К сожалению это было уже ночью. Не было сил нормально понаблюдать. Пока компьютер не включал. 
×
×
  • Создать...