da_vinci_code зашифровал все файлы

[Расул Гафуров]

Добрый вечер! У меня не уникальный случай - вирус-шифровальщик "да винчи" попал на ноутбук и зашифровал все файлы. Пользователь - мой отец, открывал ли он письма - не помнит, говорит что нет, показывал папку входящие, всё чисто. Антивируса не было на ноутбуке. Самое печальное, что все важные файлы мы хранили на яндекс.диске и после шифрования, они заменились и синхронизировались на сервере. Теперь мне очень нужно их расшифровать, там вся жизнь и работа! Делаю всё по инструкции: вначале ноутбук проверил KVRT, который всё удалил (в т.ч. csrss.exe), перезагрузил комп и перепроверил. Прикладываю результат работы AutoLogger и сразу же FRST64 как в других темах, для ускорения.

Спасибо за ваше неравнодушие!

CollectionLog-2016.09.29-12.48.zip

Addition.txt

FRST.txt

Изменено 29 сентября, 2016 пользователем Расул Гафуров

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

2016-09-26 22:33 - 2016-09-26 22:33 - 03148854 _____ C:\Users\Bahridin\AppData\Roaming\7A6327587A632758.bmp

2016-09-23 23:49 - 2016-09-23 23:49 - 00000000 __SHD C:\Users\Все пользователи\System32

2016-09-23 23:49 - 2016-09-23 23:49 - 00000000 __SHD C:\ProgramData\System32

2016-09-23 23:46 - 2016-09-28 12:40 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-09-23 23:46 - 2016-09-28 12:40 - 00000000 __SHD C:\ProgramData\Windows

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[Расул Гафуров]

Извиняюсь, что так долго работал над этой процедурой. Архива на рабочем столе нет. Фикслог прикрепил, буду ждать, что же дальше?

Fixlog.txt

[mike 1]

Смените все пароли. С расшифровкой не поможем. 

[Расул Гафуров]

Смените все пароли. С расшифровкой не поможем. 

Помогите хотя бы восстановить комп после вируса. У меня банально не устанавливается Corel draw. И KIS 2016 тоже - просит SP1 к Win7. А до этого не работал центр обновлений. Ладно хоть я его починил

Изменено 30 сентября, 2016 пользователем Расул Гафуров

[mike 1]

 

Смените все пароли. С расшифровкой не поможем. 

Помогите хотя бы восстановить комп после вируса. У меня банально не устанавливается Corel draw. И KIS 2016 тоже - просит SP1 к Win7. А до этого не работал центр обновлений. Ладно хоть я его починил

 

И не поставится без SP1. Системные требования смотрите  http://www.kaspersky.ru/multi-device-security#tab=prod-3. Corel скорее всего тоже он нужен. 

[Расул Гафуров]

Установил SP1 после этого смог и поставить антивирус и Corel. Смена паролей, действительно, стала необходимой. Мы зафиксировали 54 входа на почту из разных городов России. Нужно ли предоставить вам информацию, включая IP адрес этих злоумышленников?

[mike 1]

Думаю эта информация будет полезна для правоохранительных органов. Мне эта информация незачем.