Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

DA_VINCI_CODE из почты.

Адонис
 Поделиться

Рекомендуемые сообщения

Адонис Новичок

Адонис

Опубликовано
Опубликовано

Поймали вирус DA_VINCI_CODE из почты.

Если есть возможность - помогите, пожалуйста,  расшифровать файлы.

Сканирование проведено. Результат прикреплен к сообщению.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Адонис Новичок

Адонис

Опубликовано
  • Автор
Опубликовано

Сделали все согласно указанной выше инструкции. Файл отчета в приложении

 

CollectionLog-2016.09.10-11.34.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\www\appdata\roaming\aspackage\aspackage.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-7.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-6.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-5.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-4.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-3.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-11.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-10.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6.exe','');
 DelBHO('{b931a240-e32a-4f2b-97aa-8b01c8e6aa14}');
 QuarantineFile('C:\Program Files (x86)\Super Great\SuperGreatbho.dll','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 QuarantineFile('C:\Users\www\AppData\Local\Kometa\kometaup.exe','');
 DeleteService('swsedrvr_vt_1_10_0_25');
 DeleteService('wwfd_vt_1_10_0_24');
 QuarantineFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys','');
 QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','');
 DeleteService('dijojyvi');
 DeleteService('dufymoxi');
 DeleteService('globalUpdate');
 DeleteService('globalUpdatem');
 DeleteService('hemidesi');
 DeleteService('peqesozy');
 DeleteService('Update Super Great');
 DeleteService('Util Super Great');
 QuarantineFile('C:\Program Files (x86)\Super Great\bin\utilSuperGreat.exe','');
 QuarantineFile('C:\Program Files (x86)\Super Great\updateSuperGreat.exe','');
 QuarantineFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\jnsz12ED.tmp','');
 QuarantineFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\knsj7922.tmp','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
 QuarantineFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\knsu7AC5.tmp','');
 QuarantineFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\hnsj301F.tmp','');
 DeleteFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\hnsj301F.tmp','32');
 DeleteFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\knsu7AC5.tmp','32');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
 DeleteFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\knsj7922.tmp','32');
 DeleteFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\jnsz12ED.tmp','32');
 DeleteFile('C:\Program Files (x86)\Super Great\updateSuperGreat.exe','32');
 DeleteFile('C:\Program Files (x86)\Super Great\bin\utilSuperGreat.exe','32');
 DeleteFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','32');
 DeleteFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys','32');
 DeleteFile('C:\Users\www\AppData\Local\Kometa\kometaup.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
 DeleteFile('C:\Program Files (x86)\Super Great\SuperGreatbho.dll','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-10.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-11.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-3.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-4.exe','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-4.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-3.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-11.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-5.exe','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5_user.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-6.exe','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-6.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-7.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-7.exe','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-11','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-3','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-4','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5_user','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-6','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-7','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
 DeleteFile('C:\Users\www\appdata\roaming\aspackage\aspackage.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sergey_user
      Почта для выкупа kelianydo
      Автор Sergey_user
      Здравствуйте! Столкнулись с этой же проблемой, что и автор темы.
      Почта для выкупа та же kelianydo[собака]gmail.com.
      Не появилось у вас решения данного шифровальщика?список файлов.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Кристина1983
      По электронной почте прислали вредоносный файл
      Автор Кристина1983
      Здравствуйте! Вчера по электронной почте пришел вредоносный файл, якобы Накладная.pdf, но файл был не PDF, просто маскировался. Письмо из почты удалила, при попытке почистить папку удаленные, через несколько секунд это удаленное письмо в удаленных восстанавливалось (почтовый клиент Thunderbird). Касперским проверила лог прилагаю, но в почтовом клиенте опять в удаленных было это письмо. Снова запустила утилиту Касперского с полной проверкой. Было проведено лечение с перезагрузкой.
      Прошу проверить остались ли вредоносные следы в системе? 
       
      Логи Kaspersky Virus Removal Tool Reports.rar
      Логи AutoLogger, после того как отработал Kaspersky Virus Removal Tool
      CollectionLog-2025.02.06-15.12.zip
    • Galymzhan
      зашифровали файлы, оставили почту platishilidrocish@fear.pw
      Автор Galymzhan
      На комп зашли через RD и зашифровали файлы, оставили почту platishilidrocish@fear.pw для расшифровки требуют плату, требования и шифрованные файлы закрепил
      FRST.zip Требования.zip зашифрованные файлы.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      Автор Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • Run
      Все файлы переименованы и зашифрованы вида *.goodluck.k ; *.goodluck почта mattersjack768@gmail.com
      Автор Run
      Доброго времени суток, компьютер словил вирус шифровальщик все важные файлы переименованы и зашифрованы вида *.goodluck.k ;  *.goodluck почта mattersjack768@gmail.com в корне диска папка Keylock с файлом ky.DAT кто может помочь как можно вернуть все назад. Восстановление не помогает, файлы также не открываются.
      Логи собраны на лайф диске. Основная ОС Windows Server 2008 R2 по времени зашифрованы 25 февраля 2025 в 4:46
      FRST.txtфайлы зашифрованные.zipKeylock.zip
×
×
  • Создать...