Файлы зашифрованы da_vinci_code [Backdoor.Win32.Androm.kplm ]

**William** · 13.09.2016, 12:40

Практически все файлы зашифрованы с расширением .da_vinci_code

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.09.2016, 12:42

Уважаемый(ая) William, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 14.09.2016, 00:25

Здравствуйте,

HiJackThis профиксить

Код:

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\hp\appdata\local\temp\rad3c4f3.tmp');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('c:\users\hp\appdata\local\temp\rad3c4f3.tmp','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('c:\users\hp\appdata\local\temp\rad3c4f3.tmp','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

P.S. Хотелось бы сразу Вас уведомить, что расшифровкой данных не поможем.

**William** · 14.09.2016, 08:02

в HiJackThis пофиксил, отчеты прикрепил

SQ · 14.09.2016, 10:39

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-65607532-196239246-2860171553-1000\...\Run: [] => [X]
SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF
SearchScopes: HKLM -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://ru.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CMDTDF
SearchScopes: HKU\S-1-5-21-65607532-196239246-2860171553-1000 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF
SearchScopes: HKU\S-1-5-21-65607532-196239246-2860171553-1000 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://ru.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CMDTDF
2016-09-13 12:13 - 2016-09-13 12:13 - 03932214 _____ C:\Users\HP\AppData\Roaming\4F4219204F421920.bmp
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README9.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README8.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README7.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README6.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README5.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README4.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README3.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README2.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README10.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README1.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README9.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README8.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README7.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README6.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README5.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README4.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README3.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README2.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README10.txt
2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README1.txt
2016-09-13 11:45 - 2016-09-13 11:45 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-09-13 11:45 - 2016-09-13 11:45 - 00000000 __SHD C:\ProgramData\System32
2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README9.txt
2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README8.txt
2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README7.txt
2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README6.txt
2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README5.txt
2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README4.txt
2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README3.txt
2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README2.txt
2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README10.txt
2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README1.txt
2016-09-13 11:43 - 2016-09-13 12:22 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-13 11:43 - 2016-09-13 12:22 - 00000000 __SHD C:\ProgramData\Windows
File: C:\Users\lines98\InstallPlay65.exe
File: C:\Users\lines98\Lines98.exe
AlternateDataStreams: C:\ProgramData\Temp:D282699C [450]
AlternateDataStreams: C:\Users\Все пользователи\Temp:D282699C [450]
HKU\S-1-5-21-65607532-196239246-2860171553-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\HP\AppData\Roaming\4F4219204F421920.bmp
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**William** · 14.09.2016, 11:59

Лог прикрепил.
С расшифровкой файлов как быть? Никаких средств нету?

SQ · 14.09.2016, 12:47

Сообщение от William

С расшифровкой файлов как быть? Никаких средств нету?

Как ранее писал, помочь не сможем с расшифровкой. На данный момент нам неизвестны удачные случае расшифровки (исключая случай с злоумышленниками).

P.S. Не удаляйте каталог C:\FRST пока не решите вопрос с расшифровкой.

**CyberHelper** · 14.09.2016, 12:57

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\users\hp\appdata\local\temp\rad3c4f3.tmp - Backdoor.Win32.Androm.kplm ( AVAST4: Win32:Malware-gen )

Файлы зашифрованы da_vinci_code [Backdoor.Win32.Androm.kplm ] (заявка № 203950)

Опции темы