rpn100 Опубликовано 24 июня, 2016 Опубликовано 24 июня, 2016 Добрый день! У меня на 2-х компьютерах зашифрованы все необходимые для работы файлы, переименованы и сохранены в расширении *.da_vinci_code. Подскажите пожалуйста есть ли возможность восстановить эти файлы, точек восстановления нет. Перед созданием логов на обоих компьютерах выполнялась полная проверка и удаление вирусов установленными на них антивирусами. Также выполнялась проверка утилитой Kaspersky Virus Removal Tool 2015. ПК №1: ОС: Windows XP Professional SP3 Kaspersky Anti-Virus 6.0 ПК №2: ОС: Windows 7 Professional SP1 X64 Kaspersky Internet Security 2015 (15.0.1.415(f)) Прикрепляю логи и образцы зашифрованных файлов с обоих машин. PC #1 code.zip PC #1 Kaspersky Anti-Virus 6.0 Log.txt PC #1 CollectionLog-2016.06.24-11.07.zip PC #2 code.zip PC #2 Kaspersky Internet Security 2015 Log.txt PC #2 CollectionLog-2016.06.24-12.06.zip
Sandor Опубликовано 24 июня, 2016 Опубликовано 24 июня, 2016 Здравствуйте! Во избежание путаницы, здесь будем продолжать по первому логу. Для второго ПК создайте отдельную тему. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\pchealth\services.exe', ''); QuarantineFile('C:\Documents and Settings\porohnyakn\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Documents and Settings\porohnyakn\Главное меню\Программы\Автозагрузка\c6KVAXJc2PK9blKkUXGWcw==.7633F83334623E9D4658.da_vinci_code', ''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe', ''); DeleteFile('C:\Documents and Settings\porohnyakn\Главное меню\Программы\Автозагрузка\c6KVAXJc2PK9blKkUXGWcw==.7633F83334623E9D4658.da_vinci_code', '32'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe', '32'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wrwwesmqvk'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\services','command'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/POROHN~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
rpn100 Опубликовано 27 июня, 2016 Автор Опубликовано 27 июня, 2016 Все сделал.Ответ от newvirus@kaspersky.com[KLAN-4521542176]Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. Вoйти в Интeрнeт.lnk,c6KVAXJc2PK9blKkUXGWcw==.7633F83334623E9D4658.da_vinci_code,bcqr00003.dat,bcqr00004.dat Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского Прикрепил новые логи. CollectionLog-2016.06.27-11.01.zip
Sandor Опубликовано 27 июня, 2016 Опубликовано 27 июня, 2016 Загрузите GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробную инструкцию читайте в руководстве.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти