Перейти к содержанию

Шифровальщик da_vinchi_code


Рекомендуемые сообщения

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Андрей\rfu.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\Rihihz.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '');
 QuarantineFile('C:\Windows\winstart.bat', '');
 DeleteFile('C:\Users\Андрей\rfu.exe', '32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\Rihihz.exe', '32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs', '32');
 DeleteFile('C:\Windows\winstart.bat', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Rihihz','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

KLAN-4321769365

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

x.vbs

An unknown file has been received. It will be sent to the Virus Lab.

winstart.bat

No malicious code was found in this file.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.comhttp://www.viruslist.com"

Ссылка на комментарий
Поделиться на другие сайты

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Жду.
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-1493408178-2134236032-2928023146-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: No Name - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\5gqctqrd.default\Extensions\yasearch@yandex.ru.xpi [2016-05-20] [not signed]
FF Extension: No Name - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\5gqctqrd.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b}.xpi [2013-07-04] [not signed]
FF Extension: No Name - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\5gqctqrd.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-04-29] [not signed]
2016-05-20 15:58 - 2016-05-23 21:42 - 00000000 __SHD C:\ProgramData\Windows
2016-05-20 15:58 - 2016-05-20 15:58 - 00002718 _____ C:\README9.txt
2016-05-20 15:58 - 2016-05-20 15:58 - 00002718 _____ C:\README8.txt
2016-05-20 15:58 - 2016-05-20 15:58 - 00002718 _____ C:\README7.txt
2016-05-20 15:58 - 2016-05-20 15:58 - 00002718 _____ C:\README6.txt
2016-05-20 15:58 - 2016-05-20 15:58 - 00002718 _____ C:\README5.txt
2016-05-20 15:58 - 2016-05-20 15:58 - 00002718 _____ C:\README4.txt
2016-05-20 15:58 - 2016-05-20 15:58 - 00002718 _____ C:\README3.txt
2016-05-20 15:58 - 2016-05-20 15:58 - 00002718 _____ C:\README2.txt
2016-05-20 15:58 - 2016-05-20 15:58 - 00002718 _____ C:\README10.txt
2016-05-20 15:58 - 2016-05-20 15:58 - 00002718 _____ C:\README1.txt
2011-07-11 09:14 - 2011-07-11 09:14 - 0000028 _____ () C:\Users\Андрей\AppData\Roaming\14BF.exe
2011-07-11 09:22 - 2011-07-11 09:22 - 0000028 _____ () C:\Users\Андрей\AppData\Roaming\44F4.exe
2011-07-12 09:14 - 2011-07-12 09:14 - 0335331 _____ () C:\Users\Андрей\AppData\Roaming\694E.exe
2011-06-23 16:49 - 2011-06-23 16:49 - 0000000 _____ () C:\Users\Андрей\AppData\Roaming\B3A0.exe
2011-06-24 16:50 - 2011-06-24 16:50 - 0000182 _____ () C:\Users\Андрей\AppData\Roaming\E96B.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

При наличии лицензии на антивирус Касперского можно создать запрос на расшифровку. Но и при этом полной гарантии расшифровки нет.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...