Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус код Да винчи

tomusa
 Поделиться

Рекомендуемые сообщения

tomusa Новичок

tomusa

Опубликовано
Опубликовано

Доброго времени суток, по электронной почте по своей глупости открыл сообщение и через часа 2 все файлы стали с расширением   "DA_VINCI_CODE" (.da_vinci_code) и текстовый фаил.

 

Ваши файлы были зaшифрoваны.
Чтoбы paсшuфpовamь их, Bам нeобxoдимo omnрaвumь koд:
1F6667FD1F1B4CCB55BD|0
нa элеkmpонный адрec VladimirScherbinin1991@gmail.com .
Дaлee вы nолyчuтe вcе нeобхoдимые инcmрyкцuи.
Поnыткu paсшифpовать сaмосmояmeльно нe nриведут нu k чeмy, kpоме безвозвpатной пoтepu инфopмaции.
Eслu вы вcё же xоmuте nопыmаmься, mo npедварuтельно cделайme pезepвные kопии фaйлов, инaчe в слyчаe
их uзмeненuя раcшифровкa станeт нeвoзмoжной ни nрu kаkих yслoвuяx.
Еcли вы нe nолучилu omвета nо вышеуkaзанному aдресу в тeчение 48 чаcoв (u только в эmoм случаe!),
воcnoльзуйmecь фopмoй oбpаmнoй связu. Этo можно сделamь двyмя спoсoбaмu:
1) Скaчaйте u усmaнoвume Tor Browser no сcылke: https://www.torproject.org/download/download-easy.html.en
В адpесной cтpоке Tor Browser-a ввeдumе aдpeс:
и нажмиmе Enter. 3агрyзитcя cmраницa c фoрмой oбpaтной cвязи.
2) B любом браузеpе nерейдume по одномy uз адресов:
 
Помогите если возможно, антивирус используется Kaspersky Internet Security только вот он немного просроченный а новый увы не успел активировать.

CollectionLog-2016.10.14-16.29.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению

Этот отчет тоже покажите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-10-14 14:46 - 2016-10-14 14:49 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-10-14 14:46 - 2016-10-14 14:49 - 00000000 __SHD C:\ProgramData\Csrss
2016-10-13 16:05 - 2016-10-13 16:05 - 06220854 _____ C:\Users\Наталья\AppData\Roaming\3C0F8D5D3C0F8D5D.bmp
2016-10-13 16:05 - 2016-10-13 16:05 - 00004186 _____ C:\Users\Наталья\Desktop\README9.txt
2016-10-13 16:05 - 2016-10-13 16:05 - 00004186 _____ C:\Users\Наталья\Desktop\README8.txt
2016-10-13 16:05 - 2016-10-13 16:05 - 00004186 _____ C:\Users\Наталья\Desktop\README7.txt
2016-10-13 16:05 - 2016-10-13 16:05 - 00004186 _____ C:\Users\Наталья\Desktop\README6.txt
2016-10-13 16:05 - 2016-10-13 16:05 - 00004186 _____ C:\Users\Наталья\Desktop\README5.txt
2016-10-13 16:05 - 2016-10-13 16:05 - 00004186 _____ C:\Users\Наталья\Desktop\README4.txt
2016-10-13 16:05 - 2016-10-13 16:05 - 00004186 _____ C:\Users\Наталья\Desktop\README3.txt
2016-10-13 16:05 - 2016-10-13 16:05 - 00004186 _____ C:\Users\Наталья\Desktop\README2.txt
2016-10-13 16:05 - 2016-10-13 16:05 - 00004186 _____ C:\Users\Наталья\Desktop\README10.txt
2016-10-13 16:05 - 2016-10-13 16:05 - 00004186 _____ C:\Users\Наталья\Desktop\README1.txt
2016-10-13 14:52 - 2016-10-14 15:22 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-13 14:52 - 2016-10-14 15:22 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
stieve Новичок

stieve

Опубликовано
Опубликовано (изменено)

Здравствуйте, столкнулся с такой же проблемой. Вирус один в один. У нас в офисе установлена лицензия small office, лицензия активна, не просрочена. В момент заражения, возможно, касперский был отключен. Так же прилагаю файлы как и создатель топика.

Добавил отчёт adwcleaner, но там скорее всего ничего, т.к. вирус был убит вашим запущенным приложением.

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerS0.txt

Изменено пользователем stieve
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Адварь и следы вымогателя очищены.

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kazakova
      вирус banta
      Автор kazakova
      Добрый день! Подверглись вирусной атаке, все необходимые файлы приложила, пароль на архив 123. Есть ли возможность восстановить файлы?
       
       
       
       
      логи.rarфайлы_зашифрованные.rarфайлы_шифровальщика.rar
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
×
×
  • Создать...