Вирус зашифровал файлы с раширением *.da_vinci_code

**unholy** · 15.05.2016, 17:02

Добрый день.

Поймали вирус, зашифровал файлы на компе и в сетевой папке.
После установки Касперского он нашел 3 зараженных объекта:
2 файла rad53038.tmp и rad1A175.tmp в Temp профиля пользователя с вирусом Backdoor.Win32.Androm.dhp
и файл csrss.exe в каталоге D:\ProgramData\Windows с UDS.DangerousObject.Multi.Generic

файлы лежат в карантине.

После лечения Касперским в безопасном режиме прогнал еще другими утилитами - чисто.

Но всё равно переживаю.
На всякий случай, вот логи AVZ и Hijackthis (система x64)

Спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.05.2016, 17:04

Уважаемый(ая) unholy, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**unholy** · 16.05.2016, 11:25

Оплатил Помогите+. Оплачу и расшифровку, если она будет возможна.

Бонусом сообщу, что некоторые программы не работают, так как вирь зашифровал и файлы xml

**thyrex** · 16.05.2016, 20:03

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

**unholy** · 17.05.2016, 10:25

Готово.

**thyrex** · 18.05.2016, 22:00

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\shigaeva.t\Desktop\README9.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\shigaeva.t\Desktop\README8.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\shigaeva.t\Desktop\README7.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\shigaeva.t\Desktop\README6.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\shigaeva.t\Desktop\README5.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\shigaeva.t\Desktop\README4.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\shigaeva.t\Desktop\README3.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\shigaeva.t\Desktop\README2.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\shigaeva.t\Desktop\README10.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\shigaeva.t\Desktop\README1.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\Public\Desktop\README9.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\Public\Desktop\README8.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\Public\Desktop\README7.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\Public\Desktop\README6.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\Public\Desktop\README5.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\Public\Desktop\README4.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\Public\Desktop\README3.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\Public\Desktop\README2.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\Public\Desktop\README10.txt
2016-05-13 14:14 - 2016-05-13 14:14 - 00002722 _____ D:\Users\Public\Desktop\README1.txt
2016-05-13 09:56 - 2016-05-13 09:56 - 00002722 _____ C:\README9.txt
2016-05-13 09:56 - 2016-05-13 09:56 - 00002722 _____ C:\README8.txt
2016-05-13 09:56 - 2016-05-13 09:56 - 00002722 _____ C:\README7.txt
2016-05-13 09:56 - 2016-05-13 09:56 - 00002722 _____ C:\README6.txt
2016-05-13 09:56 - 2016-05-13 09:56 - 00002722 _____ C:\README5.txt
2016-05-13 09:56 - 2016-05-13 09:56 - 00002722 _____ C:\README4.txt
2016-05-13 09:56 - 2016-05-13 09:56 - 00002722 _____ C:\README3.txt
2016-05-13 09:56 - 2016-05-13 09:56 - 00002722 _____ C:\README2.txt
2016-05-13 09:56 - 2016-05-13 09:56 - 00002722 _____ C:\README10.txt
2016-05-13 09:51 - 2016-05-13 16:42 - 00000000 __SHD D:\ProgramData\Windows
Task: {06FFFC2D-06EA-47F1-86CA-21581E91936B} - System32\Tasks\DistromaticSearchProtect-hourly => C:\Program Files (x86)\Amazon Browser Settings\AmznSearchProtect.exe [2016-04-20] (Distromatic) <==== ATTENTION
Task: {E9199886-C000-4B29-8DE6-AF789441CF8D} - System32\Tasks\DistromaticUpdater-periodic => C:\Program Files (x86)\Amazon Browser Settings\updater.exe [2016-04-20] (Distromatic) <==== ATTENTION
Task: {F3589518-678E-4193-A078-B05FB9BBD375} - System32\Tasks\DistromaticUpdater-logon => C:\Program Files (x86)\Amazon Browser Settings\updater.exe [2016-04-20] (Distromatic) <==== ATTENTION
Task: {9F26E6ED-68E8-45BF-A74B-8D6AD16F1656} - System32\Tasks\DistromaticSearchProtect-logon => C:\Program Files (x86)\Amazon Browser Settings\AmznSearchProtect.exe [2016-04-20] (Distromatic) <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

**unholy** · 21.05.2016, 16:35

Выполнено.

Лог в приложении.

Можно вопрос: зачем удалять текстовые файлы ридми? Просто, чтобы не мешали? Или есть какие-то риски?
И еще: с расшифровкой имеет смысл обращаться или это пока бесполезно?

**thyrex** · 24.05.2016, 16:41

С расшифровкой помочь не сможем

Вирус зашифровал файлы с раширением *.da_vinci_code (заявка № 200485)

Опции темы