AlexeyM 0 Опубликовано 20 мая, 2016 Share Опубликовано 20 мая, 2016 Вирус переименовал все файлы с расширением .da_vinci_code. Появилось много блокнотиков с названием readme со следующим содержанием: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: E70375C8495FD9CF8815|0 на электронный адрес RobertaMacDonald1994@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае их изменения расшифровка станет невозможной ни при каких условиях. Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!), воспользуйтесь формой обратной связи. Это можно сделать двумя способами: 1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en В адресной строке Tor Browser-а введите адрес: http://cryptsen7fo43rr6.onion/ и нажмите Enter. Загрузится страница с формой обратной связи. 2) В любом браузере перейдите по одному из адресов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ __________________________________________ Прошу о помощи. Логи прикладываю. CollectionLog-2016.05.20-19.14.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 21 мая, 2016 Share Опубликовано 21 мая, 2016 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Koshmanov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Koshmanov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Ссылка на сообщение Поделиться на другие сайты
AlexeyM 0 Опубликовано 23 мая, 2016 Автор Share Опубликовано 23 мая, 2016 (изменено) KLAN-4318791566 Прикладываю новые логи: Каковы мои дальнейшие действия?и что делать с зашифрованными файлами? Так же прикладываю логи FarBar recovery scan tool CollectionLog-2016.05.23-09.49.zip frst логи.rar Изменено 23 мая, 2016 пользователем AlexeyM Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 23 мая, 2016 Share Опубликовано 23 мая, 2016 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: 2016-05-20 17:29 - 2016-05-20 17:29 - 06220854 _____ C:\Users\Koshmanov\AppData\Roaming\300EE928300EE928.bmp 2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README9.txt 2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README8.txt 2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README7.txt 2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README6.txt 2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README5.txt 2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README4.txt 2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README3.txt 2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README2.txt 2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README10.txt 2016-05-20 16:38 - 2016-05-23 08:55 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-05-20 16:38 - 2016-05-23 08:55 - 00000000 __SHD C:\ProgramData\Windows Reboot: 2. Нажмите Файл – Сохранить как 3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на сообщение Поделиться на другие сайты
AlexeyM 0 Опубликовано 24 мая, 2016 Автор Share Опубликовано 24 мая, 2016 Fixlog Fixlog.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 мая, 2016 Share Опубликовано 24 мая, 2016 С расшифровкой помочь не сможем Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти