ransom.shade Файлы зашифрованны вирусом "DA_VINCI_CODE"

[Шынар]

После перехода по ссылке в поиске в интернете зашифровались все файлы компьютера. разрешение файла "DA_VINCI_CODE"

 

CollectionLog-2016.08.11-11.07.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\FB80~1\AppData\Local\Temp\argcyznzyl.vbe','');
 SetServiceStart('mwescontroller', 4);
 DeleteService('mwescontroller');
 SetServiceStart('mweshield', 4);
 SetServiceStart('mweshieldup', 4);
 DeleteService('mweshieldup');
 DeleteService('mweshield');
 QuarantineFile('C:\Windows\system32\drivers\mwescontroller.sys','');
 QuarantineFile('c:\users\Манагер\appdata\roaming\microsoft\windows\start menu\programs\signworkaround\sign.exe','');
 QuarantineFile('c:\program files\ncalayer\ncalayer.exe','');
 TerminateProcessByName('c:\program files\my web shield\mweshieldup.exe');
 QuarantineFile('c:\program files\my web shield\mweshieldup.exe','');
 TerminateProcessByName('c:\program files\my web shield\mweshield.exe');
 QuarantineFile('c:\program files\my web shield\mweshield.exe','');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('c:\program files\my web shield\mweshield.exe','32');
 DeleteFile('c:\program files\my web shield\mweshieldup.exe','32');
 DeleteFile('C:\Windows\system32\drivers\mwescontroller.sys','32');
 DeleteFile('C:\Users\FB80~1\AppData\Local\Temp\argcyznzyl.vbe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','argcyznzyl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

[Шынар]

новые логи снаяла

файл quarantine отправила на почту по указанному адресу

 

 

CollectionLog-2016.08.11-12.51.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Шынар]

KLAN

Hello,

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.  

 

mwescontroller.sys,

sign.exe,

CollectionLog-2016.08.11-11.07.zip

ncalayer.exe,

mweshieldup.exe,

mweshield.exe,

bcqr00005.dat,

bcqr00006.dat,

bcqr00007.dat,

bcqr00008.dat

 

A set of unknown files has been received. They will be sent to the Virus Lab.

 

csrss.exe - Trojan.Win32.Agent.ijlg

 

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

 

Best Regards, Kaspersky Lab

 

Пришел ответ на письмо

 

так же прикладываю отчет

 

Отчет.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
2016-08-11 09:37 - 2016-08-11 09:37 - 03932214 _____ C:\Users\Манагер\AppData\Roaming\B3DD87D1B3DD87D1.bmp
2016-08-11 09:37 - 2016-08-11 09:37 - 00002712 _____ C:\Users\Манагер\Desktop\README9.txt
2016-08-11 09:37 - 2016-08-11 09:37 - 00002712 _____ C:\Users\Манагер\Desktop\README8.txt
2016-08-11 09:37 - 2016-08-11 09:37 - 00002712 _____ C:\Users\Манагер\Desktop\README7.txt
2016-08-11 09:37 - 2016-08-11 09:37 - 00002712 _____ C:\Users\Манагер\Desktop\README6.txt
2016-08-11 09:37 - 2016-08-11 09:37 - 00002712 _____ C:\Users\Манагер\Desktop\README5.txt
2016-08-11 09:37 - 2016-08-11 09:37 - 00002712 _____ C:\Users\Манагер\Desktop\README4.txt
2016-08-11 09:37 - 2016-08-11 09:37 - 00002712 _____ C:\Users\Манагер\Desktop\README3.txt
2016-08-11 09:37 - 2016-08-11 09:37 - 00002712 _____ C:\Users\Манагер\Desktop\README2.txt
2016-08-11 09:37 - 2016-08-11 09:37 - 00002712 _____ C:\Users\Манагер\Desktop\README10.txt
2016-08-10 17:16 - 2016-08-11 12:24 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-08-10 17:16 - 2016-08-11 12:24 - 00000000 __SHD C:\ProgramData\Windows
2016-08-10 17:16 - 2016-08-10 17:16 - 01087488 _____ (NCH Software) C:\Users\Манагер\AppData\Roaming.exe
2016-08-02 11:34 - 2016-08-11 09:32 - 00000000 ____D C:\Users\Манагер\AppData\Local\ZetaGamesViewer
2016-08-02 11:34 - 2016-08-02 11:36 - 00000000 ____D C:\Users\Манагер\AppData\Roaming\ScreenMaker
2016-08-02 11:34 - 2016-08-02 11:36 - 00000000 ____D C:\Users\Манагер\AppData\Local\ZetaGamesNews
C:\Users\Манагер\AppData\Local\Temp\amigo_setup.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Шынар]

высылаю файл fixlog.txt

устранилась надпись с рабочего стола с сообщением файлы заблокированы. и удалились файлы блокноты с инструкцией от вируса

но файлы все ровно зашифрованы

Fixlog.txt

Изменено 11 августа, 2016 пользователем Шынар

[thyrex]

А кто сказал, что предпринимаемые действия помогут расшифровке. Была зачистка следов вирусов, в том числе и от шифратора.

 

С расшифровкой помочь не сможем.