Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус csrss.exe c расширением "DA_VINCI_CODE""

Илья Жданов

Автор Илья Жданов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Илья Жданов Новичок

Илья Жданов

Опубликовано
Опубликовано (изменено)

вирус csrss.exe  расширение "DA_VINCI_CODE"

 

Вирус зашифровал всю информацию на ПК . На рабочем столе "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы".

Изменено пользователем Илья Жданов
Ссылка на комментарий
Поделиться на другие сайты
Илья Жданов Новичок

Илья Жданов

Опубликовано
  • Автор
Опубликовано

Логи, сделанные при помощи Autologger, где?

В смысле где? Всё согласно инструкции выполнил : называется zip- Архив:  CollectionLog-2016.09.18-00.36

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 ExecuteRepair(9);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
Илья Жданов Новичок

Илья Жданов

Опубликовано
  • Автор
Опубликовано

ГОТОВО!


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 ExecuteRepair(9);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Готово!!!

Addition.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Сами настраивали ограничения в локальной групповой политике?

GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
Сами ставили расширение в Opera?

OPR Extension: (WOT) - C:\Users\АС\AppData\Roaming\Opera Software\Opera Stable\Extensions\eeokceolphhfjdfcibaiiopmekmcbedp [2016-09-10]
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
2016-09-17 11:37 - 2016-09-17 11:37 - 03148854 _____ C:\Users\АС\AppData\Roaming\28E0178628E01786.bmp
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README9.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README8.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README7.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README6.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README5.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README4.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README3.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README2.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README10.txt
2016-09-17 11:37 - 2016-09-17 11:37 - 00004198 _____ C:\Users\АС\Desktop\README1.txt
2016-09-16 21:31 - 2016-09-17 14:18 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-09-16 21:31 - 2016-09-17 14:18 - 00000000 __SHD C:\ProgramData\System32
2016-09-16 21:29 - 2016-09-17 21:12 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-16 21:29 - 2016-09-17 21:12 - 00000000 __SHD C:\ProgramData\Windows
Folder: C:\ProgramData\install_clap
Task: {2A0BCEBD-1345-4E77-A584-36FC151B7643} - \Программа онлайн-обновления Adobe. -> No File <==== ATTENTION
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Tetradb
      Шифровальщик с расширением [johnhelper123@gmx.de].decrypt
      Автор Tetradb
      Здравствуйте.
      Зашифровались все файлы, прошу помощи по расшифровке файлов если есть возможно.
      29.11.2022.rar
    • rancol347
      [РЕШЕНО] Появляются рекламные вирусы по мнению КВРТ в файлах расширений для хрома и называются bg.js. Хром не использую
      Автор rancol347
      Иногда проверяю компьютер КВРТ и он выдал 2 рекламных вируса/расширения. После лечения с перезагрузкой всё вроде нормально, но если через 2-3 дня проверить снова появляется 1-2 расширения (not-a-virus:HEUR:AdWare.js.extredirect.gen и ещё какой-то, но по названию самый обычный адварь). И могу ли запустить автологгер вместе с защитником виндовс? (я не понял как выгрузить) и компьютер теоретически должен выдержать.
    • kazakova
      вирус banta
      Автор kazakova
      Добрый день! Подверглись вирусной атаке, все необходимые файлы приложила, пароль на архив 123. Есть ли возможность восстановить файлы?
       
       
       
       
      логи.rarфайлы_зашифрованные.rarфайлы_шифровальщика.rar
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Kataomi_3232
      [РЕШЕНО] Неизвестное расширение в Google Chrome.
      Автор Kataomi_3232
      Здравствуйте. После установки игры с неизвестного источника моим родственником, браузер Google Chrome начал 2-3 раза в день вылетать, при попытке зайти в настройки и например удалить историю он стал выдавать - некоторые настройки были изменены сторонним приложением, браузер вернул их по умолчанию. Еще что я заметил, это то, что окошко где находятся расширения после всех этих манипуляций всегда самостоятельно переходили в режим разработчика. Но буквально 30 минут назад на моих глаза из ни откуда появилось расширение torrent scanner, оказывается оно все это время существовало и во встроенном браузере от windows (microsoft edge) Благодаря беседе с одним модератором на форуме касперского, он сообщил мне что стоит обратиться сюда и что расширение установилось локально.
      CollectionLog-2025.05.06-22.58.zip
×
×
  • Создать...