Вирус DA_VINCI_CODE зашифровал все фото и видео файлы.

[Екатерина Моисеева 0]

ДОбрый день!

поймала почтой, через яндекс почту в онлайне открыла файл.

 

Зашифровал файлы на дисках D E F. C не тронул.

вроде в основном фото и видео файлы.

 

обидно зашифровал семейный архив видео и фото.

CollectionLog-2016.09.11-13.49.zip

[Sandor 1 282]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

My Web Shield

Smart Application Controller

Служба автоматического обновления программ

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 ExecuteRepair(1);
 ExecuteRepair(4);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Екатерина Моисеева 0]

Удалить службу автоматического обновления не удалось. не дает. даже через revo uninstaller.

далее все по действиям с cleanrnk сделала. отчет в приложении. что длаьше делать?

Прикладываю повторный рез-тат диагностики

ClearLNK-12.09.2016_20-13.log

CollectionLog-2016.09.12-20.29.zip

[Sandor 1 282]

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Екатерина Моисеева 0]

сканирование провела. в прицепе отчет.

AdwCleanerS0.txt

[Sandor 1 282]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить:
  • Политики IE
  • Политики Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Екатерина Моисеева 0]

все сделала.

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor 1 282]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => No File
AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => No File
CHR HKU\S-1-5-21-2385499146-644988014-483834318-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Toolbar: HKU\S-1-5-21-2385499146-644988014-483834318-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR Extension: (Mail.Ru) - C:\Users\Катя\AppData\Local\Google\Chrome\User Data\Default\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2016-06-05]
2016-09-14 12:38 - 2016-09-14 12:38 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
2016-09-14 12:38 - 2016-09-14 12:38 - 00000000 ____D C:\ProgramData\Mail.Ru
2016-09-09 16:13 - 2016-09-10 10:35 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-09 16:13 - 2016-09-10 10:35 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Екатерина Моисеева 0]

готово

Fixlog.txt

[Sandor 1 282]

Пробуйте восстановить файлы средствами Windows.

[Екатерина Моисеева 0]

скачала ShadowExplorer 0.9 Installer (exe) установила, но при запуске программы она не правильно запускается. выдает такое сообщение:

 

в сведениях пишет следущее:

Подробная информация об использовании оперативной
(JIT) отладки вместо данного диалогового
окна содержится в конце этого сообщения.

************** Текст исключения **************
System.ComponentModel.Win32Exception: Эта программа заблокирована групповой политикой. За дополнительными сведениями обращайтесь к системному администратору
   в System.Diagnostics.Process.StartWithCreateProcess(ProcessStartInfo startInfo)
   в ShadowExplorer.Service.VssAdmin.VssAdmin.a(String A_0)
   в ag.a()
   в s.a.b()
   в m.a(EventArgs A_0)
   в System.Windows.Forms.Control.CreateControl(Boolean fIgnoreVisible)
   в System.Windows.Forms.Control.CreateControl()
   в System.Windows.Forms.Control.WmShowWindow(Message& m)
   в System.Windows.Forms.Control.WndProc(Message& m)
   в System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
   в System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)


************** Загруженные сборки **************
mscorlib
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5477 (Win7SP1GDR.050727-5400)
    CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll
----------------------------------------
ShadowExplorer
    Версия сборки: 0.9.462.0
    Версия Win32: 0.9.462.0
    CodeBase: file:///C:/Program%20Files%20(x86)/ShadowExplorer/ShadowExplorer.exe
----------------------------------------
System.Windows.Forms
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5468 (Win7SP1GDR.050727-5400)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms/2.0.0.0__b77a5c561934e089/System.Windows.Forms.dll
----------------------------------------
System
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5467 (Win7SP1GDR.050727-5400)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System/2.0.0.0__b77a5c561934e089/System.dll
----------------------------------------
System.Drawing
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5467 (Win7SP1GDR.050727-5400)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Drawing/2.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll
----------------------------------------
System.Core
    Версия сборки: 3.5.0.0
    Версия Win32: 3.5.30729.5420 built by: Win7SP1
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Core/3.5.0.0__b77a5c561934e089/System.Core.dll
----------------------------------------
System.ServiceModel
    Версия сборки: 3.0.0.0
    Версия Win32: 3.0.4506.5452 (Win7SP1GDR.030729-5400)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.ServiceModel/3.0.0.0__b77a5c561934e089/System.ServiceModel.dll
----------------------------------------
System.Configuration
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5476 (Win7SP1GDR.050727-5400)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Configuration/2.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll
----------------------------------------
System.Xml
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5476 (Win7SP1GDR.050727-5400)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Xml/2.0.0.0__b77a5c561934e089/System.Xml.dll
----------------------------------------
sesvc
    Версия сборки: 0.9.462.0
    Версия Win32: 0.9.462.0
    CodeBase: file:///C:/Program%20Files%20(x86)/ShadowExplorer/sesvc.EXE
----------------------------------------
System.Windows.Forms.resources
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5420 (Win7SP1.050727-5400)
    CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms.resources/2.0.0.0_ru_b77a5c561934e089/System.Windows.Forms.resources.dll
----------------------------------------
mscorlib.resources
    Версия сборки: 2.0.0.0
    Версия Win32: 2.0.50727.5477 (Win7SP1GDR.050727-5400)
    CodeBase: file:///C:/Windows/Microsoft.NET/Framework64/v2.0.50727/mscorlib.dll
----------------------------------------

************** Оперативная отладка (JIT) **************
Для подключения оперативной (JIT) отладки файл .config данного
приложения или компьютера (machine.config) должен иметь
значение jitDebugging, установленное в секции system.windows.forms.
Приложение также должно быть скомпилировано с включенной
отладкой.

Например:

<configuration>
    <system.windows.forms jitDebugging="true" />
</configuration>

При включенной отладке JIT любое необрабатываемое исключение
пересылается отладчику JIT, зарегистрированному на данном компьютере,
вместо того чтобы обрабатываться данным диалоговым окном.
--------------------

 

нажимаю продолжить:

 

в окне пусто.

[Sandor 1 282]

А эту часть инструкции пробовали?

 

 

Как восстановить предыдущие версии файлов после их повреждения?

1. Щелкните правой кнопкой мыши по поврежденному файлу и выберите Свойства
2. Перейдите на вкладку Предыдущие версии

[Екатерина Моисеева 0]

да . там вообще версий нет никаких.

[Sandor 1 282]

Значит Вам не повезло ((