Практически все файлы зашифрованы с расширением .da_vinci_code
Практически все файлы зашифрованы с расширением .da_vinci_code
Уважаемый(ая) William, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
HiJackThis профиксить
AVZ выполнить следующий скрипт.Код:O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\users\hp\appdata\local\temp\rad3c4f3.tmp'); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('c:\users\hp\appdata\local\temp\rad3c4f3.tmp',''); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); DeleteFile('c:\users\hp\appdata\local\temp\rad3c4f3.tmp','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
P.S. Хотелось бы сразу Вас уведомить, что расшифровкой данных не поможем.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
в HiJackThis пофиксил, отчеты прикрепил
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM\...\Run: [] => [X] HKU\S-1-5-21-65607532-196239246-2860171553-1000\...\Run: [] => [X] SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF SearchScopes: HKLM -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://ru.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CMDTDF SearchScopes: HKU\S-1-5-21-65607532-196239246-2860171553-1000 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF SearchScopes: HKU\S-1-5-21-65607532-196239246-2860171553-1000 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://ru.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CMDTDF 2016-09-13 12:13 - 2016-09-13 12:13 - 03932214 _____ C:\Users\HP\AppData\Roaming\4F4219204F421920.bmp 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README9.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README8.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README7.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README6.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README5.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README4.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README3.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README2.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README10.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\Public\Desktop\README1.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README9.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README8.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README7.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README6.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README5.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README4.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README3.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README2.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README10.txt 2016-09-13 12:13 - 2016-09-13 12:13 - 00004190 _____ C:\Users\HP\Desktop\README1.txt 2016-09-13 11:45 - 2016-09-13 11:45 - 00000000 __SHD C:\Users\Все пользователи\System32 2016-09-13 11:45 - 2016-09-13 11:45 - 00000000 __SHD C:\ProgramData\System32 2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README9.txt 2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README8.txt 2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README7.txt 2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README6.txt 2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README5.txt 2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README4.txt 2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README3.txt 2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README2.txt 2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README10.txt 2016-09-13 11:44 - 2016-09-13 11:44 - 00004190 _____ C:\README1.txt 2016-09-13 11:43 - 2016-09-13 12:22 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-09-13 11:43 - 2016-09-13 12:22 - 00000000 __SHD C:\ProgramData\Windows File: C:\Users\lines98\InstallPlay65.exe File: C:\Users\lines98\Lines98.exe AlternateDataStreams: C:\ProgramData\Temp:D282699C [450] AlternateDataStreams: C:\Users\Все пользователи\Temp:D282699C [450] HKU\S-1-5-21-65607532-196239246-2860171553-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\HP\AppData\Roaming\4F4219204F421920.bmp [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem] Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Лог прикрепил.
С расшифровкой файлов как быть? Никаких средств нету?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\hp\appdata\local\temp\rad3c4f3.tmp - Backdoor.Win32.Androm.kplm ( AVAST4: Win32:Malware-gen )
Уважаемый(ая) William, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.