Помогите с расшифровкой файлов

[BaddBoy]

Поймали вирус который зашифровал данные на компе, все файлы с расширением .da_vinci_code
Прогнали в безопасном режиме сканером DR.WEB CureIt почистели.
Очень нужно восстановить зашифрованные данные.
 

CollectionLog-2016.05.14-14.36.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Анастасия\appdata\everything\serviceeverything.exe','');
 QuarantineFile('C:\Users\Анастасия\appdata\everything\sfkex64.exe','');
 DelBHO('{1ad06e32-557d-4982-93df-b38130c80769}');
 DelBHO('{1F91A9A1-01BA-4c81-863D-3BA0751E1419}');
 QuarantineFile('C:\ProgramData\topdeal\WgfdoEWzPOFSUb.dll','');
 DeleteService('iSafeKrnlMon');
 DeleteService('iSafeKrnl');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','');
 QuarantineFile('C:\Program Files (x86)\ffgogogo Browser\bin\browserServer.exe','');
 SetServiceStart('winzipersvc', 4);
 DeleteService('winzipersvc');
 SetServiceStart('DeskTop_F', 4);
 DeleteService('DeskTop_F');
 QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','');
 TerminateProcessByName('c:\program files (x86)\winzipper\winzipersvc.exe');
 QuarantineFile('c:\program files (x86)\winzipper\winzipersvc.exe','');
 TerminateProcessByName('c:\users\Анастасия\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe');
 QuarantineFile('c:\users\Анастасия\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe','');
 QuarantineFile('c:\programdata\desktopfind\desktop114.exe','');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('c:\users\Анастасия\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe','32');
 DeleteFile('c:\program files (x86)\winzipper\winzipersvc.exe','32');
 DeleteFile('C:\Program Files (x86)\WinZipper\zlib1.dll','32');
 DeleteFile('C:\Program Files (x86)\WinZipper\SSLEAY32.dll','32');
 DeleteFile('C:\Program Files (x86)\WinZipper\LIBEAY32.dll','32');
 DeleteFile('C:\Program Files (x86)\WinZipper\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\WinZipper\curlpp.dll','32');
 DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','32');
 DeleteFile('C:\ProgramData\desktopfind\desktop114.exe','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys','32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\ProgramData\topdeal\WgfdoEWzPOFSUb.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','64');
 DeleteFile('C:\Users\Анастасия\appdata\everything\sfkex64.exe','32');
 DeleteFile('C:\Users\Анастасия\appdata\everything\serviceeverything.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[BaddBoy]

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

serviceeverything.exe - not-a-virus:AdWare.Win32.ELEX.bl
sfkex64.exe - not-a-virus:AdWare.Win64.Agent.ay
SupTab.dll - not-a-virus:AdWare.Win32.SubTab.j

These files are Advertizing Tools, theirs detection will be included in the next   update of extended databases set.

browserServer.exe,
winzipersvc.exe,
utorrentie.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

desktop114.exe

No malicious code was found in this file.

csrss.exe - Trojan.Win32.Fsysna.ddts

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

KLAN-4269871962

[thyrex]

Новые логи где?

[BaddBoy]

последний ЛОГ

CollectionLog-2016.05.14-16.50.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[BaddBoy]

ЛОг от MBAM

log.txt

[thyrex]

Удалите в МВАМ все найденное

[BaddBoy]

Удаляется!

Удалено!

Изменено 14 мая, 2016 пользователем BaddBoy

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[BaddBoy]

Архивчек!

Архив.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-2783555184-1214712554-1375583897-1000\...\Run: [AdobeBridge] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450274051&from=mych123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450274051&from=mych123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450274051&from=mych123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450274051&from=mych123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450274051&from=mych123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450274051&from=mych123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450274051&from=mych123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450274051&from=mych123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450274051&from=mych123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450274051&from=mych123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o
HKU\S-1-5-21-2783555184-1214712554-1375583897-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450274051&from=mych123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o
HKU\S-1-5-21-2783555184-1214712554-1375583897-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450274051&from=mych123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o
SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450274051&from=zzgbkk123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o&q={searchTerms}
SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450274051&from=zzgbkk123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450274051&from=zzgbkk123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450274051&from=zzgbkk123&uid=samsungxmzmpa128hmfu-00000_s0r5nyab509215&z=18db571418fd7bb7da199ecg1z3w0ecobmez0edz7o&q={searchTerms}
BHO: topdeal -> {1ad06e32-557d-4982-93df-b38130c80769} -> C:\ProgramData\topdeal\WgfdoEWzPOFSUb.x64.dll => No File
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\S-1-5-21-2783555184-1214712554-1375583897-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-2783555184-1214712554-1375583897-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-2783555184-1214712554-1375583897-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-05-13 16:28 - 2016-05-13 16:28 - 03148854 _____ C:\Users\Анастасия\AppData\Roaming\524B31D5524B31D5.bmp
2016-05-13 16:28 - 2016-05-13 16:28 - 00002718 _____ C:\Users\Анастасия\Desktop\README9.txt
2016-05-13 16:28 - 2016-05-13 16:28 - 00002718 _____ C:\Users\Анастасия\Desktop\README8.txt
2016-05-13 16:28 - 2016-05-13 16:28 - 00002718 _____ C:\Users\Анастасия\Desktop\README7.txt
2016-05-13 16:28 - 2016-05-13 16:28 - 00002718 _____ C:\Users\Анастасия\Desktop\README6.txt
2016-05-13 16:28 - 2016-05-13 16:28 - 00002718 _____ C:\Users\Анастасия\Desktop\README5.txt
2016-05-13 16:28 - 2016-05-13 16:28 - 00002718 _____ C:\Users\Анастасия\Desktop\README4.txt
2016-05-13 16:28 - 2016-05-13 16:28 - 00002718 _____ C:\Users\Анастасия\Desktop\README3.txt
2016-05-13 16:28 - 2016-05-13 16:28 - 00002718 _____ C:\Users\Анастасия\Desktop\README2.txt
2016-05-13 16:28 - 2016-05-13 16:28 - 00002718 _____ C:\Users\Анастасия\Desktop\README10.txt
2016-05-13 15:42 - 2016-05-14 15:55 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-13 15:42 - 2016-05-14 15:55 - 00000000 __SHD C:\ProgramData\Windows
2016-05-14 18:04 - 2015-01-16 12:55 - 00000000 ____D C:\Program Files (x86)\Elex-tech
2016-05-14 18:03 - 2015-01-16 12:55 - 00000000 ____D C:\Users\Анастасия\AppData\Roaming\Elex-tech
2016-05-13 16:27 - 2015-06-11 20:07 - 00000000 ____D C:\Users\Анастасия\AppData\Everything
2016-05-13 16:27 - 2014-11-02 09:15 - 00000000 ____D C:\Users\Все пользователи\79e0fcb16b996260
2016-05-13 16:27 - 2014-11-02 09:15 - 00000000 ____D C:\ProgramData\79e0fcb16b996260
Task: {A576E6D8-50FD-4EC0-9A26-CE92ABDEE107} - \LaunchSignup -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[BaddBoy]

Лог!

Fixlog.txt

[thyrex]

C расшифровкой помочь не сможем

[BaddBoy]

C расшифровкой помочь не сможем

Вообще?