da_vinci_code Шифровальщик

[Specosnastka]

На пк установлен KIS но данный шифровальщик (da_vinci_code) все равно пробрался(

 

Проверил ПК программами Kaspersky virus removal Tool 2015 и dr.web Cureit но они нечего не нашли. Помогите расшифровать данные хотя бы архивы бухгалтерии. логи авто сборщика прилагаются. 

а также логи программы FarBar Recovery Tool

CollectionLog-2016.09.29-14.27.zip

report1.log

report2.log

Addition.txt

FRST.txt

[mike 1]

Упакуйте в архив и пришлите содержимое папки C:\ProgramData\Kaspersky Lab\AVP16.0.1\SysWHist

 

betwinservice - сами себе ставили?

 

Лицензия в антивирусе не просрочена?

[Specosnastka]

Лицензия еще на 248 дней. 

betwinservice это что?

дело в том что до этого на компьютере работал другой сотрудник который тут уже не работает. и что он ставил не известно.

SysWHist.7z

[mike 1]

 

 

betwinservice это что?

Программа, которая может открывать удаленный доступ к компьютеру. 

 

 

дело в том что до этого на компьютере работал другой сотрудник который тут уже не работает. и что он ставил не известно.

Судя по присланной папки антивирус не работал на момент заражения, либо был отключен ключевой модуль защиты в антивирусе против шифровальщиков. 

[Specosnastka]

и что теперь делать?

на пк установлен TeamViewer 11 но его использовали сотрудники 1c

[mike 1]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');

 StopService('BeTwinService');

 DeleteService('BeTwinService');

 TerminateProcessByName('c:\windows\system32\betwinservicevs.exe');

 DeleteFile('c:\windows\system32\betwinservicevs.exe','32');

 DeleteFile('C:\Windows\system32\BeTwinServiceVS.exe','32');

 DeleteFile('C:\Windows\System32\BeTwinServiceVS.exe','32');

 DeleteFile('C:\Windows\System32\XKYojBrNV_mMgZ.exe','32');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

O4 - User Startup: System Check.lnk    ->    C:\Windows\System32\XKYojBrNV_mMgZ.exe

 

 

Сделайте новые логи Автологгером. 

[Specosnastka]

в хайджеке не было строчки.

завтра буду в 10.00

CollectionLog-2016.09.29-18.31.zip

hijackthis.log

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Specosnastka]

Высылаю вам отчет

FRST.txt 3009.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-1750720198-1713812017-904787219-1000\...\Winlogon: [Shell] C:\Program Files\Oceanis\SystemSetting\WallPaperAgent.exe [115888 2009-12-10] (Oceanis) <==== ATTENTION

CHR Extension: (Everysale.Net) - C:\Users\Ирина\AppData\Local\Google\Chrome\User Data\Default\Extensions\iapdadaeaebaoigieglfababneoaifnf [2014-03-11]

S4 RDPSSW32; C:\Windows\System32\RDPSSW32.EXE [67584 2014-09-29] () [File not signed]

R1 BeTwinSystem; C:\Windows\System32\Drivers\BeTwinSystemVS.sys [28744 2014-09-29] (ThinSoft Pte Ltd.)

C:\Windows\System32\Drivers\BeTwinSystemVS.sys

2016-09-29 11:45 - 2016-09-29 12:17 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-09-29 11:45 - 2016-09-29 12:17 - 00000000 __SHD C:\ProgramData\Windows

2016-09-29 11:45 - 2016-09-29 11:45 - 00004174 _____ C:\README9.txt

2016-09-29 11:45 - 2016-09-29 11:45 - 00004174 _____ C:\README8.txt

2016-09-29 11:45 - 2016-09-29 11:45 - 00004174 _____ C:\README7.txt

2016-09-29 11:45 - 2016-09-29 11:45 - 00004174 _____ C:\README6.txt

2016-09-29 11:45 - 2016-09-29 11:45 - 00004174 _____ C:\README5.txt

2016-09-29 11:45 - 2016-09-29 11:45 - 00004174 _____ C:\README4.txt

2016-09-29 11:45 - 2016-09-29 11:45 - 00004174 _____ C:\README3.txt

2016-09-29 11:45 - 2016-09-29 11:45 - 00004174 _____ C:\README2.txt

2016-09-29 11:45 - 2016-09-29 11:45 - 00004174 _____ C:\README10.txt

StandardProfile\AuthorizedApplications: [C:\Windows\explorer.exe] => Enabled:WtKNqjdpdqHRTUmVbXQIOjixqp

StandardProfile\AuthorizedApplications: [C:\Users\532B~1\AppData\Local\Temp\tmp579a20134.exe] => Enabled:hfQLBneB_SaRWcCQkQloHaHexB

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[Specosnastka]

не каких файлов на раб столе не создалось.

А есть возможность узнать время заражения ПК?

в начале не то отправил

 

FRST.txt

Fixlog.txt

[mike 1]

Сделайте свежие логи FRST.txt и Addition.txt

 

 

 

А есть возможность узнать время заражения ПК?

29 сентября в 11:45 примерно. 

[Specosnastka]

готово

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

S3 BeTwinProxy; C:\Windows\System32\BeTwinProxyVS.exe [97856 2014-09-29] (ThinSoft Pte Ltd.)

SearchScopes: HKU\S-1-5-21-1750720198-1713812017-904787219-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE

BHO: Windows 7 Starter Helper -> {D381FF29-7CFB-4D4E-B92A-C4EDDC696614} -> C:\Program Files\Oceanis\SystemSetting\StarterHelper.dll [2009-12-09] (Oceanis)

BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[Specosnastka]

кроме Fixlog не чего не добавилось на раб столе

свежие логи на всякий случай тоже прикреплю

Fixlog.txt

Addition.txt

FRST.txt