Перейти к содержанию

Вирус csrss.exe c расширением "DA_VINCI_CODE""

Илья Жданов

От Илья Жданов
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Илья Жданов Новичок

Илья Жданов

Опубликовано
Опубликовано (изменено)

вирус csrss.exe  расширение "DA_VINCI_CODE"

 

Вирус зашифровал всю информацию на ПК . На рабочем столе "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы".

Изменено пользователем Илья Жданов
Ссылка на комментарий
Поделиться на другие сайты
Илья Жданов Новичок

Илья Жданов

Опубликовано
  • Автор
Опубликовано

Логи, сделанные при помощи Autologger, где?

В смысле где? Всё согласно инструкции выполнил : называется zip- Архив:  CollectionLog-2016.09.18-00.36

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 ExecuteRepair(9);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
Илья Жданов Новичок

Илья Жданов

Опубликовано
  • Автор
Опубликовано

ГОТОВО!


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 ExecuteRepair(9);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Готово!!!

Addition.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Сами настраивали ограничения в локальной групповой политике?

GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
Сами ставили расширение в Opera?

OPR Extension: (WOT) - C:\Users\АС\AppData\Roaming\Opera Software\Opera Stable\Extensions\eeokceolphhfjdfcibaiiopmekmcbedp [2016-09-10]
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
2016-09-17 11:37 - 2016-09-17 11:37 - 03148854 _____ C:\Users\АС\AppData\Roaming\28E0178628E01786.bmp
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README9.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README8.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README7.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README6.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README5.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README4.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README3.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README2.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README10.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README1.txt
2016-09-16 21:31 - 2016-09-17 14:18 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-09-16 21:31 - 2016-09-17 14:18 - 00000000 __SHD C:\ProgramData\System32
2016-09-16 21:29 - 2016-09-17 21:12 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-16 21:29 - 2016-09-17 21:12 - 00000000 __SHD C:\ProgramData\Windows
Folder: C:\ProgramData\install_clap
Task: {2A0BCEBD-1345-4E77-A584-36FC151B7643} - \Программа онлайн-обновления Adobe. -> No File <==== ATTENTION
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tom1
      Шифровальщик с расширением .wtch
      От tom1
      Здравствуйте.
      Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
      Файл самого шифровальщика обнаружен, готов предоставить.
      Addition.txt FRST.txt файлы.zip
    • Дмитрий Борисович
      Шифровальщик с расширением LOQ
      От Дмитрий Борисович
      Приветствую!
      8 декабря, примерно в 20 часов была замечена активность шифровальщика.
      Выявлено шифрование файлов на всех активных компьютерах сети.
      Зашифрованные файлы с расширением - .loq
      В корне диска C:\ найден файл с раширением .txt следующего содержания:
       
      All Your Files Are Locked And Important Data Downloaded !

      Your Files Are No Longer Accessible Don't Waste Your Time, Without Our Decryption Program Nobody Can't Help You .
      If Payment Isn't Made After A While We Will Sell OR Publish Some Of Your Data . You Don't Have Much Time!

      Your ID : HFXGT
      If You Want To Restore Them Email Us : Evo.team1992@gmail.com
      If You Do Not Receive A Response Within 24 Hours, Send A Message To Our Second Email : Qqq113168@gmail.com
      To Decrypt Your Files You Need Buy Our Special Decrypter In Bitcoin .
      Every Day The Delay Increases The Price !! The Decryption Price Depends On How Fast You Write To Us Email.
      We Deliver The Decryptor Immediately After Payment , Please Write Your System ID In The Subject Of Your E-mail.
      What is the guarantee !
      Before Payment You Can Send Some Files For Decryption Test.
      If We Do Not Fulfill Our Obligations, No One Does Business With Us , Our Reputation Is Important To Us 
      It's Just Business To Get Benefits.
      ===============================================================================
      Attention !
      Do Not Rename,Modify Encrypted Files .
      Do Not Try To Recover Files With Free Decryptors Or Third-Party Programs And Antivirus Solutions Because 
      It May Make Decryption Harder Or Destroy Your Files Forever !
      ===============================================================================
      Buy Bitcoin !
      https://www.kraken.com/learn/buy-bitcoin-btc
      https://www.coinbase.com/how-to-buy/bitcoin
       
       
      Архив.zip
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • Freeman80S
      Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron
      От Freeman80S
      Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.
      Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)
      FRST.txt шифр файлы и требование.rar
    • ovfilinov
      поймали шифровальщика - дописывает после расширения файла 6a19a55854eee3
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
×
×
  • Создать...