Перейти к содержанию

Зашифровал da_vinci_code


Рекомендуемые сообщения

Здравствуйте, из почты словили давинчи.

 

Все полезные файлы стали с расширением .code_da_vinchi

Антивирус Касперский стоит, но видимо старые оболочки не успевают срабатывать.

Прилагаю логи автологера ну и само письмо

 

Спасибо.

CollectionLog-2016.06.21-15.20.zip

doc..eml.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\autorun.inf', '');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3129168197-3016434877-757893137-1639\Software\Microsoft\Windows\CurrentVersion\Run','sbfxupzthj');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Утилита FRST обновлена. Скачайте, пожалуйста, заново и соберите логи.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

добрый день. сделал логи, высылаю.

так же наткнулся на флешке на файлы readme, прикладываю их тоже.

 

Загрузки.zip

Archive.zip

Изменено пользователем Blackserg
Ссылка на комментарий
Поделиться на другие сайты

Ran by Бурлачук (ATTENTION: The user is not administrator)

Утилиту следует запускать правой кнопкой от имени администратора. Переделайте, пожалуйста.
Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ProxyServer: [S-1-5-21-3129168197-3016434877-757893137-1171] => 127.0.0.1:8080
AutoConfigURL: [S-1-5-21-3129168197-3016434877-757893137-1171] => 127.0.0.1:8080
ProxyServer: [S-1-5-21-3129168197-3016434877-757893137-1639] => 127.0.0.1:8080
AutoConfigURL: [S-1-5-21-3129168197-3016434877-757893137-1639] => 127.0.0.1:8080
FF NetworkProxy: "type", 0
FF Extension: No Name - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2016-06-20] [not signed]
2016-06-20 16:24 - 2016-06-20 18:46 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-05-20 15:55 - 2016-05-20 15:55 - 00000000 ____D C:\Documents and Settings\Бурлачук\Application Data\Tencent
2016-05-20 15:55 - 2016-05-20 15:55 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Tencent
2016-05-20 15:49 - 2016-05-20 15:49 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Rising
2016-05-20 15:41 - 2016-06-06 09:11 - 00000000 ____D C:\Documents and Settings\Бурлачук\Application Data\ProShopper
2016-04-13 16:48 - 2016-06-22 08:59 - 00000362 _____ C:\WINDOWS\Tasks\MailRuUpdater.job
2016-04-13 16:46 - 2016-04-13 16:46 - 00000000 ____D C:\Documents and Settings\Бурлачук\Local Settings\Application Data\Unity
2016-04-13 16:43 - 2016-04-13 16:43 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\KRB Updater Utility
2016-04-13 16:39 - 2016-04-13 16:39 - 00000000 ____D C:\Documents and Settings\Бурлачук\Application Data\ImageCropResize
2016-04-13 16:35 - 2016-06-06 09:11 - 00000000 ____D C:\Documents and Settings\Бурлачук\Local Settings\Application Data\SearchGo
2016-04-13 16:34 - 2016-06-20 17:14 - 00000000 ____D C:\Documents and Settings\Бурлачук\Application Data\MailProducts
2016-04-13 16:34 - 2016-05-13 09:30 - 00000000 ____D C:\Documents and Settings\Бурлачук\Local Settings\Application Data\Mail.Ru
2016-04-13 16:34 - 2016-04-13 17:48 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Mail.Ru
Task: C:\WINDOWS\Tasks\MailRuUpdater.job => C:\Documents and Settings\Бурлачук\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Извините, что вмешался в дисскуссию

просто судя по 

 

так же наткнулся на флешке на файлы readme, прикладываю их тоже.

 

у меня точно такой же вирус

антивирус не написал его названия?

 

или это абсолютно новый вирус?

Ссылка на комментарий
Поделиться на другие сайты

@dima744,

Касперский потом нашел его, в логах написал:

Удалено троянская программа Trojan-Downloader.JS.Cryptoload.yf    [From:"Ростелеком" <isaev.s@siqd.rt.ru>][subject:[?? Probable Spam]  doc.][Time:2016/06/20 14:19:02]/21.zip/317.zip/31.js    21.06.2016 9:41:44
 


Результаты работы фарбара, прикладываю Fixlog

Fixlog.txt

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

@Blackserg

 

Спасибо, если будете платить за восстановление, не сочтите за труд результат написать можно в личку

Изменено пользователем dima744
Ссылка на комментарий
Поделиться на другие сайты

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского)

Версия устарела и больше не поддерживается. Обновите до актуальной.

 

С расшифровкой не поможем.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

@Sandor,

Спасибо за старания.

да версия устарела, тут надо вместе с компьютером надо менять...

 

ну тоесть никак не получится с расшифровкой? или чего не хватает для расшифровки?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Федор45
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
    • madlab
      От madlab
      На компьютере зашифрованы диски. В системе был установлен Kaspersky Small Office Security (сейчас он в системе не обнаруживается).
      При обращении к диску требуется ввести пароль.
      Системный диск не зашифрован. На нем встречаются файлы с расширением "ooo4ps".
      В архиве "UCPStorage.7z" есть зашифрованный (и, похоже, он же, но не зашифрованный) файл.
      Kaspersky Virus Removal Tool угроз не обнаружил.
      Есть ли возможность помочь?
      Спасибо.
      FRST.txt UCPStorage.7z
    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...