Помогите вирус шифровальщик .da_vinci_code

[panda7007]

вирус зашифровал все файлы в .da_vinci_code

 

 

README1.txt

CollectionLog-2016.10.11-17.20.zip

Изменено 11 октября, 2016 пользователем panda7007

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 StopService('netfilter');
 DeleteService('netfilter');
 TerminateProcessByName('c:\docume~1\86c2~1\locals~1\temp\radb8ebd.tmp');
 QuarantineFile('c:\docume~1\86c2~1\locals~1\temp\radb8ebd.tmp','');
 DeleteFile('c:\docume~1\86c2~1\locals~1\temp\radb8ebd.tmp','32');
 DeleteFile('C:\WINDOWS\system32\drivers\netfilter.sys','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\WINDOWS\Tasks\FF Watcher {A713B6C8-74CE-450A-8D8E-18BD45CB91F4}.job','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

• Загрузите GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

• Временно отключите драйверы эмуляторов дисков.
• Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
• Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
• После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

 

• Sections
• IAT/EAT
• Show all

• Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
• Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
• После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробную инструкцию читайте в руководстве