Шифровальщик da vinci code

[igor1393]

Вирус зашифровал все файлы под расширение da_vinci_code

report2.log

CollectionLog-2016.05.14-00.17.zip

Изменено 14 мая, 2016 пользователем igor1393

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[igor1393]

Вирус зашифровал часть файлов под расширение da_vinci_code

 

Сообщение от модератора "Mark D. Pearlstone"

Темы объединены

CollectionLog-2016.05.14-00.17.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 2).
+ логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[igor1393]

К сожалению, не удалось разобраться с порталом Virus Desk. Удалось сделать онлайн проверку архива, которая не выявила вредоносных файлов. Дополнительно прикрепил этот аркхив

 

Сообщение от модератора

Не выкладывайте карантин в теме! Карантин удален.

CollectionLog-2016.05.16-12.41.zip

Addition.txt

FRST.txt

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
 2016-05-13 12:16 - 2016-05-13 15:39 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-13 12:16 - 2016-05-13 15:39 - 00000000 __SHD C:\ProgramData\Windows
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

по поводу расшифровки обращайтесь в ТП вендора Вашего антивируса.

[igor1393]

Fixlog

Fixlog.txt

[SPokemon]

Подскажите, как расшифровать файлы da_vinci_code?

 

Addition.txt

FRST.txt

[Elly]

Подскажите, как расшифровать файлы da_vinci_code?

по поводу расшифровки обращайтесь в ТП вендора Вашего антивируса.