Файлы заблокированы шифровальщиком .da_vinci_code! Помогите!

23 октября, 2016

Все "вордовские" документы подверглись шифрованию!

Отправляю архив с зашифрованным файлом

зашифрованный файл.rar

Изменено 23 октября, 2016 пользователем Максим Герасименко

24 октября, 2016

Здравствуйте!

Прочтите и выполните Порядок оформления запроса о помощи

2 ноября, 2016

Произошло заражение ПК вирусом-шифровальщиком da vinci code, в результате чего открыть файлы текстового процессора MO Word не представляется возможным. Прикрепляю log-файлы.

Сообщение от модератора Mark D. Pearlstone

Темы объединены

CollectionLog-2016.11.02-19.38.zip

3 ноября, 2016

Два антивируса - много:

360 Total Security

AVG 2011

Один оставьте, один удалите.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\TEMP\{42E87203-1251-45C8-B03E-265E1C688BA6}.exe', '');
 QuarantineFile('C:\Windows\Fonts\GoogleToolbarInstaller.exe', '');
 DeleteFile('C:\Windows\TEMP\{42E87203-1251-45C8-B03E-265E1C688BA6}.exe', '32');
 DeleteFile('C:\Windows\Fonts\GoogleToolbarInstaller.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

3 ноября, 2016

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

GoogleToolbarInstaller.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского [KLAN-5283840490]

3 ноября, 2016

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

5 ноября, 2016

Отправляю новый лог-файл. Скажите, есть надежда на расшифровку?

CollectionLog-2016.11.03-14.34.zip

Изменено 5 ноября, 2016 пользователем Максим Герасименко

5 ноября, 2016

есть надежда на расшифровку?

Весьма призрачная.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

7 ноября, 2016

Отправляю отчеты

Addition.txt

FRST.txt

Shortcut.txt

Изменено 7 ноября, 2016 пользователем Максим Герасименко

7 ноября, 2016

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-10-22 14:53 - 2016-10-22 14:53 - 00000000 __SHD C:\Users\Гимназия\AppData\Roaming\System32
2016-10-22 12:04 - 2016-10-22 12:04 - 00004202 _____ C:\README9.txt
2016-10-22 12:04 - 2016-10-22 12:04 - 00004202 _____ C:\README8.txt
2016-10-22 12:04 - 2016-10-22 12:04 - 00004202 _____ C:\README7.txt
2016-10-22 12:04 - 2016-10-22 12:04 - 00004202 _____ C:\README6.txt
2016-10-22 12:04 - 2016-10-22 12:04 - 00004202 _____ C:\README5.txt
2016-10-22 12:04 - 2016-10-22 12:04 - 00004202 _____ C:\README4.txt
2016-10-22 12:04 - 2016-10-22 12:04 - 00004202 _____ C:\README3.txt
2016-10-22 12:04 - 2016-10-22 12:04 - 00004202 _____ C:\README2.txt
2016-10-22 12:04 - 2016-10-22 12:04 - 00004202 _____ C:\README10.txt
2016-10-22 12:04 - 2016-10-22 12:04 - 00004202 _____ C:\README1.txt
2016-10-22 12:04 - 2016-10-22 12:04 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-10-22 12:04 - 2016-10-22 12:04 - 00000000 __SHD C:\ProgramData\System32
2016-10-22 12:03 - 2016-10-22 12:03 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-22 12:03 - 2016-10-22 12:03 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

9 ноября, 2016

Отправляю файл fixlog

Fixlog.txt

9 ноября, 2016

Следы вымогателя очищены. С расшифровкой помочь не сможем.

10 ноября, 2016

Следы вымогателя очищены. С расшифровкой помочь не сможем.

Подскажите, как можно себя обезопасить на будущее?

10 ноября, 2016

Смените все важные пароли.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Файлы заблокированы шифровальщиком .da_vinci_code! Помогите!

Рекомендуемые сообщения

Максим Герасименко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Максим Герасименко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Максим Герасименко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Максим Герасименко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Максим Герасименко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Максим Герасименко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Максим Герасименко

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum