Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

На ПК поработал шифровальщик da_vinci_code. Есть мнение, что впервые шифровальщик поработал ещё летом этого года.

На машине установлен Avast - я остановил его службу, брэндмауэр windows отключен.

Kaspersky Virus Removal Tool 2015 ничего не показал. AutoLogger (версия от 18-11-2015) запускает 2 браузера, работает ещё какое-то время и затем просто вылетает. Создает дамп-файлы в AutoLogger\CrashDumps.

 

Соответственно, CollectionLogs сделать нет возможности. Запустил HiJack и RSIT - во вложениях. 

Файлы report1 и report2 от autologger-а.

Каковы дальнейшие действия?

HiJackThis.log

info.txt

log.txt

report1.log

report2.log

Изменено пользователем AdMec-Shambler
Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

Код (Text):
var PathAutoLogger, CMDLine : string;

begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
    if FolderIsEmpty(PathAutoLogger+'CrashDumps')
        then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
        else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
        else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/, http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    CHR Extension: (Стартовая — Яндекс) - C:\Users\пк\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-10-19]
    CHR Extension: (Новая вкладка – Яндекс) - C:\Users\пк\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdpgllbnilfcbckbdchjcfgopijgllcm [2016-11-09]
    2016-06-04 22:27 - 2016-06-04 22:27 - 3148854 _____ () C:\Users\пк\AppData\Roaming\0DF4B9EB0DF4B9EB.bmp
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на сообщение
Поделиться на другие сайты

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525. Из темы не пропадайте пока что, возможно потребуются дополнительные данные для исправлении ошибки в Автологгере.

Ссылка на сообщение
Поделиться на другие сайты

Добрый вечер. Правильно ли я понимаю, что сперва я прикладываю к заявке до 10мб файлов для, назовем это, пробного расшифрования? Могу ли я потом передать вам для этого большее количество файлов?

Ссылка на сообщение
Поделиться на другие сайты

Несколько небольших файлов в архиве прикладываете и ждете ответа. Если расшифровка будет возможна, то вам дадут утилиту для расшифровки остальных файлов.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 months later...

Добрый день!
Хочу вновь поинтересоваться по поводу своего запроса. В прошлый раз мне рекомендовали напомнить о себе примерно в феврале 2017-го. Мне нужно открыть заявку снова?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Nana24
      От Nana24
      Внезапно комп начал тормозить при включении, вплоть до полного зависания.
      Накануне не было ничего скачано или установлено. Все антивирусы ничего не показывают, доктор Вэб, Авира и т. д. Диспетчер демонстрирует аномальное количество процессов.
      Логи ниже. Буду очень рада помощи!
      CollectionLog-2021.10.18-19.00.zip
    • Megapolis
      От Megapolis
      Добрый день!
      На рабочем компьютере с рабочей почты словили трояна, который зашифровал большинство файлов. На рабочем столе появилась заставка с красой надписью на черном фоне:
      Внимание! Все важные файлы на всех ваших дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt, которые можно найти на любом из дисков.
      Расширение файлов: DA_VINCI_CODE
      В приложении: сохраненный отчет проверки Касперского и архив с логами.
      CollectionLog-2016.07.15-14.58.zip
      Проверка 15-07-2016.txt
    • ursa
      От ursa
      Помогите вылечить и расшифровать!
      Текст сообщения Давинча:
       
      сделал как вы говорили
      Farbar Recovery Scan Tool:
       
      Результат  прикреплен ниже
      FRST.txt
      Addition.txt
    • Nsmok1987
      От Nsmok1987
      Здравствуйте, пожалуйста помогите, на моем компьютере все файлы зашифрованы вирусом, который имеет расширение файла DA_VINCI_CODE. Данная проблема возникла после того как на адрес моей элеронной почты (mail), поступило письмо, которое звучало следующим образом: "Николай, вы имеете задолжность перед бухгалтерией", после чего мной был скачен файл ZIP, разархивирован и запущен какой-то файл, походящий на файл .EXE. После его запуска, я понял, что поймал какой-то вирус, я удалил данный файл и почистил почту, но было уже поздно. Файлы на компьютере стали шифроваться. Пока я принимал меры по поиску вируса и его удалению, все файлы уже были зашифрованы. На рабочем столе возникли текстовые документы, в которых говорилось, "Все файлы на компьютере зашифрованы, не пытайтесь их самостоятельно расшифровать, это приведет к их утере". 
      В настоящее время вирус я удалил, но расшифровать файлы не получается, пробовал разные утилиты, но без толку. 
      Прошу Вашей помощи! За ранее Спасибо!
      С уважением, Николай.
      CollectionLog-2016.12.12-18.22.zip
    • Армен Мурадян
      От Армен Мурадян
      Здравствуйте. Недавно зашёл в свою папку с важным документами и медиафайлами и сюрприз. Оказывается их зашифровал какая-то вредоносная программа по имени DA_VINCI_CODE.

       

      Файл Redme не сохранился по сколку антивирус его удалил его.

      Про сканировал весь комп такими утилитами как:

      Kaspersky Virus Removal Tool;
      Dr.Web CureIt!.
      В результате скана вирусы не были найдены. Видимо антивирус боролся но было поздно, файлы уже были за шифрованы.

      Теперь думаю что делать. Там очень важные файлы были для меня.

       

      Какие варианты есть?

       

      P.s. при любом итоге спасибо. 

       

×
×
  • Создать...