Перейти к содержанию

И еще раз шифровальщик Da Vinci Code

Simboss
 Поделиться

Рекомендуемые сообщения

Simboss

Simboss

Опубликовано
Опубликовано

Доброго времени суток!

 

Как и у большинства из почты получен шифровальщик Да Винчи  (к сожалению письмо с ссылкой на вирус удалено).

Проведено сканирование утилитой Farbar Recovery Scan Tool.

Прикрепляю отчеты.

 

В принципе нет необходимости расшифровать файлы, т.к. большинство удалено (есть бэкап на другом компьютере).

Основная цель удалить шифровальщик, чтобы не шифровал новые добавляемые файлы, а также удалить зашифрованные (многие из них с длинным именем и не удаляются).

 

Надеюсь на вашу помощь

Shortcut.txt

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Два антивируса - перебор.

360 Total Security

Kaspersky Total Security

Оставьте один (не уточняю какой :))

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('4F95770A7E880CF4');
 QuarantineFile('C:\Users\Экопроект\AppData\Local\Temp\C16E0D185.sys', '');
 QuarantineFile('C:\Users\Экопроект\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2KFE07QC\vfp.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{C6C8D9A3-D8D6-4AD8-8D98-0B9AA4333F12}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Экопроект\AppData\Local\Temp\C16E0D185.sys', '32');
 DeleteFile('C:\Users\Экопроект\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2KFE07QC\vfp.exe', '32');
 DeleteService('4F95770A7E880CF4');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
Simboss

Simboss

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

 

Здравствуйте!

Два антивируса - перебор.

360 Total Security
Kaspersky Total Security

Оставьте один (не уточняю какой :))
 

 

У Касперского истек срок действия, а новую лицензию еще не купили.

360 Тотал Секьюрити был установлен вчера после появления кода Да Винчи.

Конечно же приобретем новую лицензию, т.к. пользуемся уже несколько лет.

 

Прикрепляю ответ.

Номер KLAN 5163810682.

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

C16E0D185.sys,
Check_Browsers_LNK.log,
HiJackThis.log,
info.txt,
log.txt,
avz_sysinfo.htm,
avz_sysinfo.xml

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Simboss

Simboss

Опубликовано
  • Автор
Опубликовано

Сканирование утилитой Farbar Recovery Scan Tool я проводил и прикреплял отчеты в начальном сообщении темы.

Еще раз осуществил сканирование.

Прикрепляю новые отчеты.

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy\User: Restriction ? <======= ATTENTION
BHO: No Name -> {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2886762122-642230030-2554666213-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-2886762122-642230030-2554666213-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README9.txt
2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README8.txt
2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README7.txt
2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README6.txt
2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README5.txt
2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README4.txt
2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README3.txt
2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README2.txt
2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README10.txt
2016-10-12 10:22 - 2016-10-12 10:22 - 00004170 _____ C:\README1.txt
2016-10-12 10:21 - 2016-10-12 10:21 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-12 10:21 - 2016-10-12 10:21 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Шифровальщик blackFL
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
    • Restinn
      Шифровальщик blackFL
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
    • Алексей Новиков
      Шифровальщик @gotchadec
      Автор Алексей Новиков
      Добрый день. Помогите в расшифровке  Прикрепил файлы и текстовый док 
      Fixlog.txt
      8.3.19.1522.rar
×
×
  • Создать...