Шифровальщик (.da_vinci_code)

[Sanek0101]

Доброго времени суток !!!!

Помогите пожалуйста с расшифровкой файлов если возможно.

Вчера пользователь поймал шифровальщика по почте, да еще и само письмо удалил....

какие действия нужно выполнить? 

Addition.txt

FRST.txt

Shortcut.txt

[mike 1]

По правилам раздела разве эти логи нужны?

[Sanek0101]

простите пожалуйста, какие логи нужны с AutoLogger ?

CollectionLog-2016.09.26-19.12.zip

[mike 1]

Деинсталлируйте:

Currency calc
etranslator
Video Saver

•  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[Sanek0101]

вот логи   AdwCleaner (by Xplode) 

AdwCleanerS0.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Sanek0101]

новый лог AdwCleaner

AdwCleanerC0.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Sanek0101]

логи

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKLM\...\RunOnce: [AVZ] => cmd /c start " " "C:\Users\444\Desktop\Новая папка\Антивирусы\Новая папка\2 способ решения шифровальщика\AutoLogger\AVZ\avz.exe" Script="C:\Users\444\Desktop\Новая папка\Антивирусы\Новая папка\2 спосо (the data entry has 64 more characters).

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

CHR HKU\S-1-5-21-3083157901-582763870-2872466928-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

Toolbar: HKU\S-1-5-21-3083157901-582763870-2872466928-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File

Toolbar: HKU\S-1-5-21-3083157901-582763870-2872466928-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

CHR Extension: (Adobe Flash Player) - C:\Users\444\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\lomnoakmkbnceknadikncppomoalbiel [2015-09-03]

CHR Extension: (Adobe Flash Player) - C:\Users\444\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\nonodemgnpfmmhbnkecpjjdkfmaifoni [2015-09-03]

CHR HKLM\...\Chrome\Extension: [aapcjgafljhokjfbeebpiddfjpjjcdem] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [akkhkcocfnopiccplnimkefmaejepdlj] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [bagkmcapnndnncpcocmfplbdejejlgig] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [hbpohbeflieibmcmohdnhfkigfmkmfgd] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [lomnoakmkbnceknadikncppomoalbiel] - C:\Program Files\Adobe Flash Player 10.0\adobeflashplayer-kt.crx [2013-11-25]

CHR HKLM\...\Chrome\Extension: [lonndeeklpobbkjaacljjjkddafbbbfa] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [nonodemgnpfmmhbnkecpjjdkfmaifoni] - C:\Program Files\Adobe Flash Players 10.0\adobeflashplayer-sk.crx [2013-11-26]

CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx

OPR Extension: (__MSG_appName__) - C:\Users\444\AppData\Roaming\Opera Software\Opera Stable\Extensions\hjlmfejeepodkfiapgfhkniokjdcmkfo [2015-08-27]

OPR Extension: (AdsGuard for Google Chrome™) - C:\Users\444\AppData\Roaming\Opera Software\Opera Stable\Extensions\jnchjfllgfgeplbacilpkfedokmoeabb [2014-08-18]

OPR Extension: (__MSG_appName__) - C:\Users\444\AppData\Roaming\Opera Software\Opera Stable\Extensions\objoaichchnolncdebkiiipkjlligamm [2015-06-29]

S3 ukxcqzui; no ImagePath

S3 clfqvxkg; no ImagePath

2016-09-23 09:54 - 2016-09-23 09:54 - 00000000 __SHD C:\Users\Все пользователи\System32

2016-09-23 09:54 - 2016-09-23 09:54 - 00000000 __SHD C:\ProgramData\System32

2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README9.txt

2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README8.txt

2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README7.txt

2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README6.txt

2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README5.txt

2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README4.txt

2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README3.txt

2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README2.txt

2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README10.txt

2014-08-19 11:17 - 2014-08-19 11:17 - 0000137 _____ () C:\Program Files\punto.bat

2014-08-19 11:17 - 2014-08-19 11:17 - 0000140 _____ () C:\Program Files\unins000.bat

2013-11-21 16:22 - 2013-11-21 16:22 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys

2014-03-14 08:35 - 2014-08-18 09:21 - 0000000 _____ () C:\Users\444\AppData\Roaming\smw_inst

2014-08-19 11:17 - 2014-08-19 11:17 - 0000120 _____ () C:\ProgramData\help.bat

Task: {2A1B9883-9D4C-48D1-AE50-5C2E650020DC} - \{FB413AD5-FC61-4B46-B375-FA9536AA5565} -> No File <==== ATTENTION

Task: {4454D1CC-E68E-4AC1-8BF2-3471BD4CBB1C} - \{1FC8189E-ABE3-421F-A1E2-FFD61954128E} -> No File <==== ATTENTION

Task: {458D27F8-0154-40F4-95B8-91ED964C84B1} - \recovery tool for video saver 22 -> No File <==== ATTENTION

Task: {4BEE7F49-B144-4DDD-BDC9-653D53EDBCD6} - \Kinoroom Browser -> No File <==== ATTENTION

Task: {84E43011-2050-4E7F-B2C5-D2E75DAE753C} - \{435BF7A3-BD87-422F-9617-B569F084AE7F} -> No File <==== ATTENTION

Task: {98838423-6024-42F5-8965-D4A6E0E6FF55} - \{7A4A7C97-C07E-453F-94B8-A46D74049422} -> No File <==== ATTENTION

Task: {9F3B3201-F42A-4A58-8F10-E6186A0D72F1} - \{3DD15B09-3931-4995-8C46-44F8453646D0} -> No File <==== ATTENTION

Task: {A926F852-3802-4C81-A93A-225D62C96DC0} - \{F263BE9F-282C-4335-A4A6-97A5DEA22C3C} -> No File <==== ATTENTION

Task: {B708BF04-71DE-4A81-AB25-03658B7C2ADD} - \{7FFB182E-B533-45F2-8D5F-2D1D0577B1EC} -> No File <==== ATTENTION

Task: {BF1C7CCD-344D-4ACB-98E5-A371DF7B1DAB} - \{4E10DC8D-C66D-4F1D-A6A8-38D849EE9F63} -> No File <==== ATTENTION

Task: {C583A024-EB49-44FF-A58C-83455DF28E82} - \{02CD58B6-1180-414C-ABA4-8E06C3431469} -> No File <==== ATTENTION

Task: {C8089C1B-09F4-45B6-828D-8043FC5FFDBA} - \recovery tool for video saver 2 -> No File <==== ATTENTION

Task: {CDE2F063-9F8F-42FC-8303-5DAE9AA53759} - \{F5C28986-3C66-40D7-B9E2-95A774B286EA} -> No File <==== ATTENTION

Task: {D02E9E50-C113-4A0D-A432-E918B58E0E24} - \{C6180989-FE75-4B85-9A53-E9B0B231ADD7} -> No File <==== ATTENTION

Task: {D5C408AE-B190-4A45-A6C6-1BDDFD53456E} - \{36C31E94-E027-41AC-ACD2-0056B5B7282D} -> No File <==== ATTENTION

Task: {E0B97B34-482D-4DB9-B028-926AA7D9AC01} - \MailRuUpdateTask -> No File <==== ATTENTION

Task: {EF403C4E-0006-4B2D-B7B0-BAA1475FE693} - \{E8D12722-F7C6-488C-9DA4-40FD2E7878EA} -> No File <==== ATTENTION

Task: {F77C1D39-0A5B-47F3-86F3-D3E302BFA6C1} - \{63B00B00-1E26-4BAE-8099-71D24FE97662} -> No File <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[Sanek0101]

Отчет работы FRST.exe

Fixlog.txt

[mike 1]

Смените все пароли.

 

 

AV: Avast Antivirus (Disabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}

За расшифровкой обращайтесь в техподдержку своего вендора.

[Sanek0101]

Все везде сменил спасибо большое!!! А  Вы не сможете помочь с расшифровкой? 

[mike 1]

Помощь в расшифровке (если она возможна) оказывается Лабораторией Касперского только лицензионным пользователям Антивируса Касперского. Вы пользуйтесь другим антивирусом. 

Изменено 27 сентября, 2016 пользователем mike 1