шифровальщик da_vinci_code

[Anton Lopin]

Здравствуйте! Требуется Ваша помощь в расшифровке файлов после атаки шифровальщика da_vinci_code.

С порядком действий ознакомился в аналогичной теме, прикладываю логи с пострадавшего компьютера.

CollectionLog-2016.05.22-09.14.zip

FRST.txt

Addition.txt

[mike 1]

Хорошо загадили себе машину на совесть. 

 

 

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\iexplorer7.exe','32');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Wincert\WIN32C~1.DLL','32');
 DeleteFile('C:\PROGRA~1\MOVIES~1\Datamngr\mgrldr.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\SystemMonitor2016.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Soft installer.job','32');
 DeleteFile('C:\Documents and Settings\Мастер\Local Settings\Application Data\Hostinstaller\298407773_monster.exe','32');
 DeleteFile('C:\Documents and Settings\Мастер\Local Settings\Application Data\SystemMonitor2016\298407773.exe','32');
 DeleteFile('C:\WINDOWS\system32\OptimizerMonitor.dll','32');
ExecuteSysClean;
Executerepair(15);
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

 

•  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

Изменено 22 мая, 2016 пользователем mike 1

[Anton Lopin]

Выполнил указанные действия. 

 

Небольшое уточнение: лечение системы не приоритетная задача (компьютер под замену ввиду плачевного технического состояния), важно расшифровать данные, в особенности базы 1С.

Спасибо!  

AdwCleanerS1.txt

CollectionLog-2016.05.22-12.48.zip

[mike 1]

•  
  

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
  

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  

• Прикрепите отчет к своему следующему сообщению
  

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

 

По расшифровке: в техподдержку с лицензией. Если лицензии нет, то обращайтесь в техподдержку своего вендора.

Изменено 22 мая, 2016 пользователем mike 1