Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

DA_VINCI_CODE из почты.

Адонис
 Поделиться

Рекомендуемые сообщения

Адонис Новичок

Адонис

Опубликовано
Опубликовано

Поймали вирус DA_VINCI_CODE из почты.

Если есть возможность - помогите, пожалуйста,  расшифровать файлы.

Сканирование проведено. Результат прикреплен к сообщению.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Адонис Новичок

Адонис

Опубликовано
  • Автор
Опубликовано

Сделали все согласно указанной выше инструкции. Файл отчета в приложении

 

CollectionLog-2016.09.10-11.34.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\www\appdata\roaming\aspackage\aspackage.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-7.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-6.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-5.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-4.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-3.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-11.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-10.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7.exe','');
 QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6.exe','');
 DelBHO('{b931a240-e32a-4f2b-97aa-8b01c8e6aa14}');
 QuarantineFile('C:\Program Files (x86)\Super Great\SuperGreatbho.dll','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 QuarantineFile('C:\Users\www\AppData\Local\Kometa\kometaup.exe','');
 DeleteService('swsedrvr_vt_1_10_0_25');
 DeleteService('wwfd_vt_1_10_0_24');
 QuarantineFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys','');
 QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','');
 DeleteService('dijojyvi');
 DeleteService('dufymoxi');
 DeleteService('globalUpdate');
 DeleteService('globalUpdatem');
 DeleteService('hemidesi');
 DeleteService('peqesozy');
 DeleteService('Update Super Great');
 DeleteService('Util Super Great');
 QuarantineFile('C:\Program Files (x86)\Super Great\bin\utilSuperGreat.exe','');
 QuarantineFile('C:\Program Files (x86)\Super Great\updateSuperGreat.exe','');
 QuarantineFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\jnsz12ED.tmp','');
 QuarantineFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\knsj7922.tmp','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
 QuarantineFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\knsu7AC5.tmp','');
 QuarantineFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\hnsj301F.tmp','');
 DeleteFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\hnsj301F.tmp','32');
 DeleteFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\knsu7AC5.tmp','32');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
 DeleteFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\knsj7922.tmp','32');
 DeleteFile('C:\Program Files (x86)\00000000-1444824659-0000-0000-D8CB8A54CFB9\jnsz12ED.tmp','32');
 DeleteFile('C:\Program Files (x86)\Super Great\updateSuperGreat.exe','32');
 DeleteFile('C:\Program Files (x86)\Super Great\bin\utilSuperGreat.exe','32');
 DeleteFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','32');
 DeleteFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys','32');
 DeleteFile('C:\Users\www\AppData\Local\Kometa\kometaup.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
 DeleteFile('C:\Program Files (x86)\Super Great\SuperGreatbho.dll','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-10.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-11.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-3.exe','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-4.exe','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-4.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-3.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-11.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-5.exe','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5_user.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-6.exe','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-6.job','32');
 DeleteFile('C:\Windows\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-7.job','32');
 DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV15.10\c3961c62-1963-4aee-a1b9-47aa7e455440-7.exe','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-11','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-3','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-4','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5_user','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-6','64');
 DeleteFile('C:\Windows\system32\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-7','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
 DeleteFile('C:\Users\www\appdata\roaming\aspackage\aspackage.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Hikobana
      Взлом почты, телеграмма, Steam
      Автор Hikobana
      Началось все с того, что 17.03 я обнаружила, что средства с Steam были потрачены путем покупки через торговую площадку. Доступа к аккаунту нет ни у кого, защита не подала никаких видов. Я поменяла пароль. В то же время, я заподозрила неладное с несколькими почтами от mail. Так же нигде не сработал аунтификатор. Везде поменяла пароли. На следующий день все повторилось и так продолжалось 3 дня. Итогом стало, что я поставила новую винду с 0. Все хорошо,  вроде прекратилось, случилось то, что взломали аккаунт Телеграмм. Вчера от меня началась рассылка в Дискорде, при том, что я сама находилась в нем. Никакая защита совершенно не сработала. После дискорда, пришло уведомление на WatsApp о попытки зайти на аккаунт. 
      CollectionLog-2025.05.02-06.01.zip
    • Sergey_user
      Почта для выкупа kelianydo
      Автор Sergey_user
      Здравствуйте! Столкнулись с этой же проблемой, что и автор темы.
      Почта для выкупа та же kelianydo[собака]gmail.com.
      Не появилось у вас решения данного шифровальщика?список файлов.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • KL FC Bot
      Как работает мошенническая схема с ботом «Почты России» в Telegram | Блог Касперского
      Автор KL FC Bot
      Мошенники регулярно изобретают новые схемы разводов, которые легко узнать по одному характерному признаку: они практически всегда прямо или косвенно касаются «Госуслуг». Сегодняшний случай не стал исключением. Рассказываем, как взламывают аккаунты на «Госуслугах» с помощью фейкового бота «Почты России».
      Как действуют мошенники
      Первое. Звонят потенциальной жертве. Причем чаще всего — не по обычному номеру телефона, а через мессенджер. Здороваются по имени-отчеству, представляются сотрудниками «Почты России» и начинают цирковое представление.
      — Вам пришло письмо от Федеральной налоговой службы (ФНС). Сегодня последний день его хранения на сортировочном складе. В адресе допущена небольшая ошибка, нужно внести изменения, тогда я смогу отправить вам письмо курьером в течение часа.
      — Да, конечно, давайте изменим адрес. Что нужно делать?
      — Вы пользуетесь Telegram? Там нужно найти официального бота «Почты России», авторизоваться через «Госуслуги» и вручную изменить адрес.
      — А как найти бота?
      — Пишите его никнейм прямо в Telegram: @ya_razvodila_i_moshennik. Вот, нашли? Это официальный бот техподдержки.
      Мошеннический бот «Почты России» в Telegram практически невозможно отличить от настоящего. Для большей убедительности злоумышленники добавляют в описание бота случайные номера регистрации в РКН
       
      View the full article
    • ВладиславFox
      KSMG как установить (а точнее интегрировать) с уже работающей почтой, на одном сервере, без виртуалок.
      Автор ВладиславFox
      Звиняюсь за форму подачи информации (это был запрос в поддержку, помощи по которому я жду уже второй день, а сроки горят)
      Если кто то ставил уже ksmg не как отдельную систему (физическую или логическую), а интегрированно в сам почтовый сервер физический/логический (одна и та же ос, без виртуалок, гипервизоров и тд) прошу подсказать.


      Не видит постфикс на шаге интеграции с почтовым сервером
      предлогает только ручную интеграцию (которая не описана в инструкции)

      Пункт инструкции:
      Если Postfix отсутствует в списке доступных почтовых серверов для интеграции, но при этом он установлен на сервере, необходимо вернуть конфигурационный файл /etc/postfix/master.cf в исходное состояние и повторно запустить скрипт первоначальной настройки.

      Проблема в том что мы не изменяли конфигурационный файл.


      (напоминание ос Debian 12, почтовое решение Iredmail, postfix, dovecoat, sogo, nginx, clamav -шли одним установочным комплектом. Требуется чтоб антивирусное решение Касперсокого (KMSG) стояло на том же сервере, в той же системе и защищало почту)
      Выполненые шаги скрипта установки:
      Select web server [1]:
      [1] Nginx
      [2] Abort setup
      > 1

      Setup will use the following web server configuration:
      | type: Nginx
      | config_dir: /etc/nginx
      | config_file: nginx.conf
      | systemd_name: nginx
      | binary_name: /usr/sbin/nginx
      | sites_dir: /etc/nginx/conf.d
      | user: www-data
      Continue setup using this configuration? [1]:
      [1] Continue setup
      [2] Abort setup
      > 1

      Specify IP address of the current node
      The IP address will be used to communicate with other nodes [10.10.0.10]:
      >

      Specify the port number of the current node
      The port number will be used to communicate with other nodes [9045]:
      >

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      >
      Port 443 is already in use.

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      > 445

      Select MTA [1]:
      [1] Manual integration
      Note that by selecting "Manual integration", you will skip automatic integration with an MTA, so you will have to change the MTA configuration files manually.
      > 1

      при запуске всех служб ksmg отключаются все системы удаленного управления cockpit/webmin, так и должно быть ?
      но прописанный в скрипте установке порт веб интерфейса ksmg (в нашем случае 445) ничего не выводит ни удаленно, ни с самого сервера.

      среди ошибок есть что то про лицензию (как и куда прописать код нашей лицензии)

      и все та же проблема что пр установке скрипт, не видит почтового сервера(ПО) postfix, только мануальная интеграция. как говорил ранее мы не меняли конфиг постфикса, он изначально шел комплектом с кучей других пакетов (и они уже интегрированы друг в друга).

      напомню нашу ситуацию
      у нас всего один сервер и одна ос (никаких вирутальных машин, гипервизоров, кластеров)
      и почтовый сервер и ksmg должны стоять на одном и том же сервере и в одной и той же ос.
      setup-250415-102638.log traceback-250415-105029.txt master.txt
    • Galymzhan
      зашифровали файлы, оставили почту platishilidrocish@fear.pw
      Автор Galymzhan
      На комп зашли через RD и зашифровали файлы, оставили почту platishilidrocish@fear.pw для расшифровки требуют плату, требования и шифрованные файлы закрепил
      FRST.zip Требования.zip зашифрованные файлы.zip
×
×
  • Создать...