Перейти к содержанию

шифровальщик da_vinci_code


Рекомендуемые сообщения

Здравствуйте! Требуется Ваша помощь в расшифровке файлов после атаки шифровальщика da_vinci_code.

С порядком действий ознакомился в аналогичной теме, прикладываю логи с пострадавшего компьютера.

CollectionLog-2016.05.22-09.14.zip

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Хорошо загадили себе машину на совесть. 

 

 

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('C:\WINDOWS\iexplorer7.exe','32');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Wincert\WIN32C~1.DLL','32');
 DeleteFile('C:\PROGRA~1\MOVIES~1\Datamngr\mgrldr.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\SystemMonitor2016.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Soft installer.job','32');
 DeleteFile('C:\Documents and Settings\Мастер\Local Settings\Application Data\Hostinstaller\298407773_monster.exe','32');
 DeleteFile('C:\Documents and Settings\Мастер\Local Settings\Application Data\SystemMonitor2016\298407773.exe','32');
 DeleteFile('C:\WINDOWS\system32\OptimizerMonitor.dll','32');
ExecuteSysClean;
Executerepair(15);
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 
Сделайте новые логи Автологгером. 
 
 

  •  
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Выполнил указанные действия. 

 

Небольшое уточнение: лечение системы не приоритетная задача (компьютер под замену ввиду плачевного технического состояния), важно расшифровать данные, в особенности базы 1С.

Спасибо!  

AdwCleanerS1.txt

CollectionLog-2016.05.22-12.48.zip

Ссылка на комментарий
Поделиться на другие сайты


  •  


  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.


  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.


  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

 

По расшифровке: в техподдержку с лицензией. Если лицензии нет, то обращайтесь в техподдержку своего вендора.

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...