Перейти к содержанию

Дешифровка файлов, зараженных вирусом Да Винчи

maksim1maximus
 Share

Рекомендуемые сообщения

maksim1maximus Новичок

maksim1maximus

Опубликовано
Опубликовано

Добрый день!!! Был заражен компьютер пользователя при помощи вируса шифровальщика Да Винчи. Мной была проведена работа по обезвреживанию данного вируса методами, описанными в вашем разделе Порядок оформления запроса о помощи. В приложении логи, собранные в процессе анализа системы программой Autologger. Прошу оказать содействие в дешифровке файлов данным вирусом. Заранее благодарю за помощь 

CollectionLog-2016.10.28-12.00.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
ExecuteSysClean;
RebootWindows(true);
end. 
 
Внимание! Будет выполнена перезагрузка компьютера.
 
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

 


Антивирус уже давно снят с поддержки. К нему базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.
 
 
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {2E3B91D6-CA28-D8E3-8556-0FB2EA3411D3} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
2016-10-27 14:55 - 2016-10-27 14:55 - 03072054 _____ C:\Documents and Settings\Администратор\Application Data\B90C03A1B90C03A1.bmp
2016-10-26 11:54 - 2016-10-26 11:54 - 03072054 _____ C:\Documents and Settings\Bobrov_SG\Application Data\715355AE715355AE.bmp
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README9.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README8.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README7.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README6.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README5.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README4.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README3.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README2.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README10.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2016-10-26 10:28 - 2016-10-28 13:02 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README9.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README8.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README7.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README6.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README5.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README4.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README3.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README2.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README10.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README1.txt
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • TVagapov
      Помощь в дешифровке DarkStar
      От TVagapov
      14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe
       
      Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.
       
      Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.
      Logs_Files.7z
    • Elly
      Викторина по шифровальщикам и дешифровке. Правила
      От Elly
      Друзья! 
       
      На нашем форуме существует отдельный раздел для борьбы с шифровальщиками, куда нередко обращаются пострадавшие пользователи. Для повышения информированности о данной теме мы создали викторину, посвященную шифровальщикам и методам их дешифровки.
      Данная викторина – это интерактивный тест, который поможет вам разобраться в угрозах, связанных с шифровальщиками. Готовы проверить свои знания и умения в области информационной безопасности? У вас есть возможность помериться силами с другими участниками и узнать, насколько хорошо вы знакомы с утилитами "Лаборатории Касперского" от вирусов-шифровальщиков, указанных на сайте Noransom. Исследуйте разнообразные вопросы о механизмах работы шифровальщиков и приемах, используемых для их нейтрализации. Идеально подходит как для новичков, так и для более опытных пользователей, желающих обновить свои знания.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1500 баллов Одна ошибка — 1000 баллов Две ошибки — 700 баллов  
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 27.01.2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @kmscom(пользователей @Friend и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответ будет дан в рамках созданной переписки, коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      От CreativeArch
      Log.7z
    • CHEAX
      [РЕШЕНО] Два файла dwm.exe, один из которых вирус.
      От CHEAX
      Один из файлов грузит систему, ни один антивирус поймать не может, в том числе Касперский Премиум. На данном форуме видел подобные темы, uVS скачан. Просьба помочь в решении вопроса.

    • couitatg
      Очень странное и необычное заражение вирусом удалённого доступа
      От couitatg
      В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.
      После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.
      Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.
      Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.
      Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.
      Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.
      Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

      CollectionLog-2024.12.15-13.23.zip
×
×
  • Создать...