Шифровальщик Da Vinci Code

[NickM]

Здравствуйте уважаемые!

 

Пользователь собственноручно запустил шифрование из вложения эл.письма.

 

Хотелось бы вычистить "хвосты адвари", а также узнать - расшифровка возможна?

 

 

CollectionLog-2016.10.10-13.12.zip

[Sandor]

Здравствуйте!

 

1. Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

2. Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[NickM]

• ClearLNK-10.10.2016_13-40.log

   

• Addition.txt

   

• FRST.txt

   

• Shortcut.txt

 

ClearLNK-10.10.2016_13-40.log

Addition.txt

FRST.txt

Shortcut.txt

[mike 1]

Если письмо сохранилось, то отправьте мне его на почту.

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Video Plugin

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR Extension: (News Tab) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-08-18]
CHR Extension: (Geek Safe) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-10-07]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-10-01]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-09-21]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb [2016-08-18]
OPR Extension: (Geek Safe) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-10-07]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-09-27]
S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X] <==== ATTENTION
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-08-16] (DotC United Inc) <==== ATTENTION
2016-10-07 08:20 - 2016-10-07 08:20 - 04320054 _____ C:\Users\User\AppData\Roaming\92EA8C7D92EA8C7D.bmp
2016-10-06 13:51 - 2016-10-07 08:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-06 13:51 - 2016-10-07 08:23 - 00000000 __SHD C:\ProgramData\Windows
Task: {114E6055-8300-42D9-ADA3-0F431D0F029B} - \Microsoft\Windows\8AC109B25FDDAAA44117B7F58A56A3AD -> No File <==== ATTENTION
Task: {1323AB49-E184-4655-AC44-51FA3FA428F6} - \Microsoft\Windows\AE5C1CCA0-8055-4063-89C7-237557D932EE -> No File <==== ATTENTION
Task: {603660CD-9FD4-4ECE-9EBC-5867C5B107B7} - \MailRuUpdater -> No File <==== ATTENTION
Task: {6B66B4C0-8C37-4252-901C-BCC084D5DD05} - \Microsoft\Windows\8AC109B25FDDAAA44117B7F58A56A3ADSB -> No File <==== ATTENTION
Task: {B977CFCF-02E5-4487-AF80-9A4712DB9FDA} - \Microsoft\8AC109B25FDDAAA44117B7F58A56A3AD -> No File <==== ATTENTION
Task: {C54A35CF-F98B-4518-8F29-CC666D811035} - \Microsoft\8AC109B25FDDAAA44117B7F58A56A3ADSB -> No File <==== ATTENTION
FirewallRules: [{2FA9AE63-25FC-4FD3-BEFB-A1130305806A}] => (Allow) C:\Users\User\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{3AE17D6B-76D8-49A5-A8B1-32F5B7E9B40D}] => (Allow) C:\Program Files\VideoPlugin\FilterService\VideoPlugin.FilterServer.exe
FirewallRules: [{EA6FC573-187D-436F-B23D-4C38B48B35C5}] => (Allow) C:\Users\User\AppData\Local\Temp\MPCOnline\MPCDownload.exe
FirewallRules: [{59E2BF2E-1EC7-4F99-BF85-754CB3192C5D}] => (Allow) C:\Users\User\AppData\Local\Temp\MPCOnline\MPCDownload.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[NickM]

• 
  
  Fixlog.txt
  
  
  

Fixlog.txt

Изменено 10 октября, 2016 пользователем NickM

[Sandor]

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

[NickM]

 

WIN-9VOKQSNRM7B_2016-10-10_14-28-27.zip

 

WIN-9VOKQSNRM7B_2016-10-10_14-28-27.zip

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v3.87.6 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v388c
  SREG
  zoo %Sys32%\DRIVERS\MPCKPT.SYS
  bl 26EDB33E64748246DCD3CFF7C66DC4A3 60136
  addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A43B3AF29BD80D317C2573E559D492B80849F461C48FA4D6FE87295DAB12C2D77A42FC7062273 64 MPC
  
  delall %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCPROTECTSERVICE.EXE
  delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CNAIBNEHBBINOOHHJAFKNIHMLOPDHHIP\230.1.2.35\NEWS TAB
  deldir %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\
  
  chklst
  delvir
  
  czoo
  areg
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
• Подробнее читайте в этом руководстве.

Повторите контрольный образ автозапуска uVS (как в сообщении №8)

[NickM]

•  на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите контрольный образ автозапуска uVS (как в сообщении №8)

 

 

 

 

•  
• WIN-9VOKQSNRM7B_2016-10-10_15-23-17.zip

WIN-9VOKQSNRM7B_2016-10-10_15-23-17.zip

[Sandor]

Если письмо сохранилось, то отправьте мне его на почту

Отправили?

 

Адварь и следы вымогателя очищены. С расшифровкой помочь не сможем. Смените важные пароли.

[NickM]

 

Если письмо сохранилось, то отправьте мне его на почту

Отправили?

 

Да, на e-mail из профиля.

 

Спасибо!

[mike 1]

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525. Смените все пароли