Перейти к содержанию

Очередной Da-vinci-code

shaddrag
 Share

Рекомендуемые сообщения

shaddrag Новичок

shaddrag

Опубликовано
Опубликовано

Сегодня сотрудница открыла какое-то письмо, не смог найти какое, возможно удалила. 

Всё зашифровалось с расширением .da-vinci-code. (остались правда не тронутыми файлы .odt)

Посмотрел форум, скачал программу Farbar Recovery Scan.. Запустил. Сам шифровальщик ещё жив? Как его удалить? Или это потом? 

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
shaddrag Новичок

shaddrag

Опубликовано
  • Автор
Опубликовано

Аааа, вон какие правила... не в те залез значит ... 

Проверил комп Virus Removal Tool'сом, он таки нашёл злополучный файл.

Вот логи от AutoLogger'a

 

CollectionLog-2016.09.30-17.16.zip

Ссылка на комментарий
Поделиться на другие сайты
shaddrag Новичок

shaddrag

Опубликовано
  • Автор
Опубликовано (изменено)

Я извиняюсь, но сейчас же всё правильно оформлено? В смысле по правилам всё? А то может про меня забыли как о нарушителе? +) 

Изменено пользователем shaddrag
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');

 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');

 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

 

Сделайте новые логи Автологгером не через терминальную сессию

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Ничего. Файлы у Вас зашифровались из-за халатности вашего администратора. 

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

Антивирус уже давно снят с поддержки. К нему базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.
 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
CHR Extension: (No Name) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-21]
CHR Extension: (No Name) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blakpkgjpemejpbmfiglncklihnhjkij [2015-11-03]
CHR Extension: (No Name) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-16]
CHR Extension: (No Name) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-10-27]
CHR Extension: (No Name) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-11-18]
CHR Extension: (No Name) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-12-09]
CHR Extension: (No Name) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\komhbcfkdcgmcdoenjcjheifdiabikfi [2015-10-16]
CHR Extension: (No Name) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-10-16]
CHR Extension: (No Name) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\omghfjlpggmjjaagoclmmobgdodcjboh [2015-10-21]
CHR Extension: (No Name) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-10-16]
CHR Extension: (No Name) - C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\User Data\Profile 1\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-05]
2016-09-30 15:49 - 2016-09-30 15:49 - 04320054 _____ C:\Documents and Settings\admin\Application Data\30F5818C30F5818C.bmp
2016-09-30 11:59 - 2016-09-30 11:59 - 03932214 _____ C:\Documents and Settings\evmoruzhonkova\Application Data\40E3280140E32801.bmp
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-09-30 11:06 - 2016-10-01 14:24 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\evmoruzhonkova\Рабочий стол\README9.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\evmoruzhonkova\Рабочий стол\README8.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\evmoruzhonkova\Рабочий стол\README7.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\evmoruzhonkova\Рабочий стол\README6.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\evmoruzhonkova\Рабочий стол\README5.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\evmoruzhonkova\Рабочий стол\README4.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\evmoruzhonkova\Рабочий стол\README3.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\evmoruzhonkova\Рабочий стол\README2.txt
2016-09-30 11:59 - 2016-09-30 11:59 - 00004174 _____ C:\Documents and Settings\evmoruzhonkova\Рабочий стол\README10.txt
2016-09-30 11:06 - 2016-09-30 11:06 - 00004174 _____ C:\README9.txt
2016-09-30 11:06 - 2016-09-30 11:06 - 00004174 _____ C:\README8.txt
2016-09-30 11:06 - 2016-09-30 11:06 - 00004174 _____ C:\README7.txt
2016-09-30 11:06 - 2016-09-30 11:06 - 00004174 _____ C:\README6.txt
2016-09-30 11:06 - 2016-09-30 11:06 - 00004174 _____ C:\README5.txt
2016-09-30 11:06 - 2016-09-30 11:06 - 00004174 _____ C:\README4.txt
2016-09-30 11:06 - 2016-09-30 11:06 - 00004174 _____ C:\README3.txt
2016-09-30 11:06 - 2016-09-30 11:06 - 00004174 _____ C:\README2.txt
2016-09-30 11:06 - 2016-09-30 11:06 - 00004174 _____ C:\README10.txt
2016-09-30 11:06 - 2016-09-30 11:06 - 00004174 _____ C:\README1.txt
2016-09-24 13:18 - 2016-09-24 13:18 - 00745258 _____ C:\Documents and Settings\primer.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты
shaddrag Новичок

shaddrag

Опубликовано
  • Автор
Опубликовано (изменено)

Пароли сменю.

Запрос я оставил ещё вчера часа в 3, всё ещё пишется, что запрос обрабатывает.... 

 

З.Ы. как долго вообще происходит процесс расшифровки? Просто нужно что-то людям сказать...

З.З.Ы. А обновлённый касперский не дал бы зашифровать файлы?

Изменено пользователем shaddrag
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

З.Ы. как долго вообще происходит процесс расшифровки?

По-разному бывает. В среднем от трех до 7 рабочих дней.

 

 

 

 А обновлённый касперский не дал бы зашифровать файлы?

 

 

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • xx3l
      Очередной .ooo4ps по ходу через RCE/RDP
      От xx3l
      Есть шансы порасшифровать?
       
      1. Явно подключались по RDP в процессе
      2. Почистили журналы Windows
      3. Что нехарактерно - часть файлов по маске .txt не зашифровали
      4. Ключ явно зависит от имени файла, но не от пути (есть 2 идентичных файла, в разных папках, с одинаковым шифртекстом)
      5. Явное шифрование блочным шифром.
      Encoded Samples.zip FRST.zip message.zip
    • rambee
      [РЕШЕНО] Загрузка остановлена. Объект: https://adtonus.com/code?id=11
      От rambee
      Здравствуйте.
       
      Не так давно начал замечать, что раз в 5-15минут компьютер фризит буквально на секунды 2-3, причём казалось бы - без повода. Долго не обращал внимания, и продолжал пользоваться системой. Вчера что-то нашло как говорится, и решил установить антивирус Kasperskiy, но при запуске установщика выдало ошибку: 
      Операция отменена из-за ограничений действующих на этом компьютере обратитесь к администратору.  
      В реестре в ветке:
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer обнаружил, что созданы параметры на запрет запуска ряда антивирусников, штук 15.
       
      Первым делом удалил эти значения в реестре, установил Касперский и провёл полную проверку, длилась долго и много чего обнаружила и поудаляла. Затем сканировал программой AdwCleaner и тоже поудалял все обнаруженные проблемы.
      На данный момент фризы не пропали, но появляются уже намного реже, за 1 час что находился за компьютером, всего 1 раз фризануло. 
      Прямо сейчас провёл проверку с помощью KVRT, ничего не обнаружилось.
       
      Заранее вам благодарен! Очень надеюсь, что мне помогут разобраться. Я допускаю, что фризы на которые я жалуюсь, вполне могут быть не связаны с вирусами, но это не единственный "симптом".
       
       

      CollectionLog-2024.02.20-18.03.zip
    • BurundukTat
      Очередной майник
      От BurundukTat
      Добрый день. Опять словил майнера, на этот раз не дает ничего сделать (открыть ваш сайт, выключает браузер если искать «как удалить майнера»).
      помогите, пожалуйста💙 
      CollectionLog-2024.01.13-09.32.zip
    • KL FC Bot
      Безопасность no code и low code | Блог Касперского
      От KL FC Bot
      Low code, no code, zero code и даже «зерокодинг» — это популярный класс бизнес-приложений, в которых задачи, традиционно требующие привлечения программистов, решаются самими бизнес-пользователями. Необходимая функциональность собирается из готовых шаблонов, интерфейс при необходимости рисуется в WYSIWYG-редакторе, логика работы описывается простыми схемами или очень короткими фрагментами кода. Со всем этим может справиться человек без специальной подготовки, достаточно уверенного владения компьютером. Благодаря low code время разработки простого мобильного приложения сокращается с полугода до пары недель, а промостраничку для интернет-магазина или новый отчет в системе можно сделать за пару часов.
      Систем «без программирования» достаточно много: для разработки мобильных приложений есть Bubble, для конструирования сайтов — Webflow, для аналитики и работы с данными — Parabola и Airtable. Все эти системы помогают организациям снизить затраты на IT-обслуживание систем и быстрее развивать нужные бизнес-функции.
      Разумеется, есть и подводные камни, а одним из самых серьезных являются киберриски. Их нужно минимизировать еще на этапе внедрения платформы low code, чтобы не подвергать данные и процессы организации значительной опасности. Вот о чем надо подумать.
      Привилегированные учетные записи
      Мини-приложение, разработанное вашими сотрудниками внутри платформы low code или no code, зачастую для работы должно иметь доступ к различным базам данных и вычислительным ресурсам. Оно часто выполняется с привилегиями сотрудника, создавшего приложение, и любой последующий пользователь (например, посетитель мини-сайта) выполняет действия с этим уровнем доступа. Отсюда прямой путь к атакам с повышением привилегий, причем понять, какой из посетителей совершил вредоносную активность, по логам будет проблематично.
      Снижение рисков:
      принцип наименьших привилегий для любых соединений с базами данных и API из системы no code; отдельные учетные записи для работы мини-приложений (применение учетных данных пользователя, разработавшего приложение, недопустимо); специальные меры протоколирования, позволяющие отследить реальных пользователей мини-приложения в моменты, когда оно делает запросы к базам данных и API.  
      Посмотреть полную статью
    • Алексей1111
      Всплывает сообщение при открытии почти любого сайта в яндекс браузер: загрузка остановлена https://adtonus.com/code?id=11
      От Алексей1111
×
×
  • Создать...