и снова про da_vinci_code

[Sheitan48]

Юзверь получил вчера на почту файлик, благополучно скачал, запустил, зашифровал) Благо появились странные симптомы у компа и быстро вызвали меня, в итоге ничего важного зашифровать не успели. Осталось вычистить неприятеля. Сделал дубликат жестяка на всякий, из безопасного режима собрал логи,

 

После автологгера запустил FRST - посреди проверки вылетел с ошибкой, "часть" лога тоже прикрепил

 

AdwCleaner вроде ничего сверхестественного не нашел кроме вебальты и одной странной папочки в program files(но судя по дате создания она там давно висит)

 

CollectionLog-2016.11.11-13.38.zip

FRST.txt

AdwCleanerS0.txt

[Sandor]

Здравствуйте!

 

из безопасного режима собрал логи

Напрасно. Переделайте из обычного (пока только CollectionLog).

[Sheitan48]

Напрасно. Переделайте из обычного (пока только CollectionLog).

Вечер добрый!

Эм, так если я правильно понимаю в обычном режиме он после запуска продолжит шифровать файлы? или я не прав?

Проверить теперь только в понедельник смогу...

[Sandor]

Вы ведь

Сделал дубликат жестяка на всякий

Так что делайте из обычного режима.

[Sheitan48]

День добрый! Обновил лог

 

CollectionLog-2016.11.14-10.34.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\buh02\Главное меню\Программы\Автозагрузка\arc.bat', '');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Sheitan48]

arc.bat это не от вируса, это наш самописный батник для архивации базы данных.

 

Логи обновил

 

Карантин отправил, [KLAN-5340755882]

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

CollectionLog-2016.11.15-11.41.zip

Изменено 15 ноября, 2016 пользователем Sheitan48

[Sandor]

Понятно. Я его и не удалял.

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Sheitan48]

Логи FRST прикрепил, номер KLAN и ответ прикрепил в сообщении выше

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-73586283-1343024091-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
HKU\S-1-5-21-73586283-1343024091-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-219788430-1820538357-945970756-1170 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-73586283-1343024091-725345543-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF user.js: detected! => C:\Documents and Settings\buh02\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2015-03-25]
FF DefaultSearchEngine: C:\Documents and Settings\buh02\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: C:\Documents and Settings\buh02\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Keyword.URL: C:\Documents and Settings\buh02\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/search?fr=ntg&q=
2016-11-10 15:08 - 2016-11-10 15:08 - 00004154 _____ C:\README9.txt
2016-11-10 15:08 - 2016-11-10 15:08 - 00004154 _____ C:\README8.txt
2016-11-10 15:08 - 2016-11-10 15:08 - 00004154 _____ C:\README7.txt
2016-11-10 15:08 - 2016-11-10 15:08 - 00004154 _____ C:\README6.txt
2016-11-10 15:08 - 2016-11-10 15:08 - 00004154 _____ C:\README5.txt
2016-11-10 15:08 - 2016-11-10 15:08 - 00004154 _____ C:\README4.txt
2016-11-10 15:08 - 2016-11-10 15:08 - 00004154 _____ C:\README3.txt
2016-11-10 15:08 - 2016-11-10 15:08 - 00004154 _____ C:\README2.txt
2016-11-10 15:08 - 2016-11-10 15:08 - 00004154 _____ C:\README10.txt
2016-11-10 15:08 - 2016-11-10 15:08 - 00004154 _____ C:\README1.txt
C:\Documents and Settings\buh02\Local Settings\Temp\MailRuUpdater.exe
C:\Documents and Settings\buh02\Local Settings\Temp\scrubber.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Sheitan48]

Готово

Fixlog.txt

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Sheitan48]

Готово

 

p.s.AdwCleaner параноик, значок акельпада ему помещал)

AdwCleanerS0.txt

AdwCleanerC0.txt

[Sandor]

значок акельпада ему помещал)

Зачем же Вы самостоятельно очистили? Это было ложное срабатывание.

Восстановите из карантина.

 

Два антивируса - много

AV: Security Studio Endpoint Protection (отключено)

AV: Антивирус Касперского

Оставьте один, второй удалите.

 

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[Sheitan48]

Зачем же Вы самостоятельно очистили? Это было ложное срабатывание.

Восстановите из карантина.

 

Нет необходимости, установился до кучи когда Total Сommander ставил

 

 

 

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

 

Лицензия есть, но необходимости в расшифровке тоже нет, зашифровались только старые данные, которые уже неактуальны, кто бы мог подумать что хлам, годами валяющийся на компе, будет полезен)

 

 

Премного благодарен за предоставленную помощь