Перейти к содержанию

DA_VINCI_CODE из почты.


Рекомендуемые сообщения

Поймали вирус DA_VINCI_CODE из почты.

Если есть возможность - помогите, пожалуйста,  расшифровать файлы.

Сканирование проведено. Результат прикреплен к сообщению.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Сделали все согласно указанной выше инструкции. Файл отчета в приложении

 

CollectionLog-2016.09.10-11.34.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\www\appdata\roaming\aspackage\aspackage.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-7.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-6.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-5.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-4.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-3.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-11.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-10.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6.exe','');
 DelBHO('{b931a240-e32a-4f2b-97aa-8b01c8e6aa14}');
 QuarantineFile('C:\Program Files (x86)\Super Great\SuperGreatbho.dll','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 QuarantineFile('C:\Users\www\AppData\Local\Kometa\kometaup.exe','');
 DeleteService('swsedrvr_vt_1_10_0_25');
 DeleteService('wwfd_vt_1_10_0_24');
 QuarantineFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys','');
 QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','');
 DeleteService('dijojyvi');
 DeleteService('dufymoxi');
 DeleteService('globalUpdate');
 DeleteService('globalUpdatem');
 DeleteService('hemidesi');
 DeleteService('peqesozy');
 DeleteService('Update Super Great');
 DeleteService('Util Super Great');
 QuarantineFile('C:\Program Files (x86)\Super Great\bin\utilSuperGreat.exe','');
 QuarantineFile('C:\Program Files (x86)\Super Great\updateSuperGreat.exe','');
 QuarantineFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\jnsz12ED.tmp','');
 QuarantineFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\knsj7922.tmp','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
 QuarantineFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\knsu7AC5.tmp','');
 QuarantineFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\hnsj301F.tmp','');
 DeleteFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\hnsj301F.tmp','32');
 DeleteFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\knsu7AC5.tmp','32');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
 DeleteFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\knsj7922.tmp','32');
 DeleteFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\jnsz12ED.tmp','32');
 DeleteFile('C:\Program Files (x86)\Super Great\updateSuperGreat.exe','32');
 DeleteFile('C:\Program Files (x86)\Super Great\bin\utilSuperGreat.exe','32');
 DeleteFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','32');
 DeleteFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys','32');
 DeleteFile('C:\Users\www\AppData\Local\Kometa\kometaup.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
 DeleteFile('C:\Program Files (x86)\Super Great\SuperGreatbho.dll','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-10.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-11.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-3.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-4.exe','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-4.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-3.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-11.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-5.exe','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5_user.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-6.exe','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-6.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-7.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-7.exe','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-11','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-3','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-4','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5_user','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-6','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-7','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
 DeleteFile('C:\Users\www\appdata\roaming\aspackage\aspackage.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Алексей Андронов
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • Stillegoth
      От Stillegoth
      Друзья, прошу помощи! Кто-то словил заразу и вот такая оказия. Самая жесть, что ни на почту, ни на Телеграм не отвечают. Что можно сделать? Спасите! Во вложении зашифрованные файлы и письмо.
      Договор АВАНТ ООО.pdf Restore-My-Files.txt ООО Компания Тензор лицензионный договор и договор купли-продажи № 88221....pdf
    • Ser_S
      От Ser_S
      Здравствуйте, надо заблокировать адрес электронной почты(например adress@primer.com), если я внесу в политике KSC Security Control -> Web Control в правило запрет на весь домен (primer.com), и стану принимать почту, заблокирует она этот адрес или надо настраивать правила в почтовом клиенте у каждого?
    • Gennadiy89
      От Gennadiy89
      Всем привет недавно зашифровали файлы на компе расширение "MZEM8GTPE" . Электронную почту в файле readme оставили почта help@room155.online или room155@tuta.io. Требуют 20-30 тысяч за восстановление файлов. Хорошо многие файлы дома на другом компе сохранены, за последние пару недель файлы остались зашифрованными только. Подскажите добрые люди можно ли как то расшифровать?
      выписка.docx
    • Sandor
      От Sandor
      Точно не заметил с какого времени, но не приходят уведомления из тем, на которые я подписан.
×
×
  • Создать...