шифровальщик da_vinci_code. Подготовка файлов для запроса на расшифровку

[folang]

День добрый. Сотрудник открыл zip архив, после чего все файлы были зашифрованы da_vinci_code.

 

В теме с порядком обращения есть пункт:

 

5. Опишите максимально подробно Вашу проблему и прикрепите необходимые файлы. Желательно перед выполнением этого пункта проконсультироваться с консультантом на форуме. Консультант Вам подскажет, какие файлы могут оказаться полезными для вирусной лаборатории, что в конечном счете может сказаться на успехе расшифровки Ваших файлов.

 

Подскажите какие файлы надо подготовить для запроса?

Спасибо.

 

P.S. На компьютере стоял workstation с последними обновлениями, в архиве бяку не видит, также полная проверка не показала ни каких проблем =\

Файл логов

CollectionLog-2016.05.16-11.38.zip

[mike 1]

Рано тебе запрос писать с запущенным шифровальщиком.

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

[folang]

Карантин отправлен.

Новый лог прикреплен

CollectionLog-2016.05.16-14.42.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[folang]

не то прикрепил, сейчас переделаю

Прикрепил

Addition.txt

FRST.txt

Изменено 16 мая, 2016 пользователем folang

[mike 1]

Антивирус Касперского 6.0 для Windows Workstations (HKLM-x32\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

 

Очередная халатность администратора локальной сети привела к потери важных файлов. Антивирус уже давно снят с поддержки. К нему и базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.

 

 

uch (S-1-5-21-2120222997-3856013323-2575040323-1000 - Administrator - Enabled) => C:\Users\uch

А за это вообще надо лишать премии. Почему обычные пользователи имеют права админа?

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CloseProcesses:
2016-05-13 13:43 - 2016-05-13 13:43 - 05292054 _____ C:\Users\uch\AppData\Roaming\58E0924558E09245.bmp
2016-05-13 13:26 - 2016-05-16 14:32 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-13 13:26 - 2016-05-16 14:32 - 00000000 __SHD C:\ProgramData\Windows

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

Изменено 16 мая, 2016 пользователем mike 1

[folang]

День добрый. upload.zip не создавался

Fixlog.txt

[mike 1]

Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

[folang]

Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

Большое спасибо за вашу работу.

Подскажите какие из прикрепленных файлов-логов отправлять в запрос ? (все ?)

Спасибо.

[mike 1]

Несколько зашифрованных файлов в архиве и файл Readme.txt