Перейти к содержанию

Дешифровка файлов, зараженных вирусом Да Винчи

maksim1maximus
 Поделиться

Рекомендуемые сообщения

maksim1maximus Новичок

maksim1maximus

Опубликовано
Опубликовано

Добрый день!!! Был заражен компьютер пользователя при помощи вируса шифровальщика Да Винчи. Мной была проведена работа по обезвреживанию данного вируса методами, описанными в вашем разделе Порядок оформления запроса о помощи. В приложении логи, собранные в процессе анализа системы программой Autologger. Прошу оказать содействие в дешифровке файлов данным вирусом. Заранее благодарю за помощь 

CollectionLog-2016.10.28-12.00.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
ExecuteSysClean;
RebootWindows(true);
end. 
 
Внимание! Будет выполнена перезагрузка компьютера.
 
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

 


Антивирус уже давно снят с поддержки. К нему базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.
 
 
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {2E3B91D6-CA28-D8E3-8556-0FB2EA3411D3} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
2016-10-27 14:55 - 2016-10-27 14:55 - 03072054 _____ C:\Documents and Settings\Администратор\Application Data\B90C03A1B90C03A1.bmp
2016-10-26 11:54 - 2016-10-26 11:54 - 03072054 _____ C:\Documents and Settings\Bobrov_SG\Application Data\715355AE715355AE.bmp
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README9.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README8.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README7.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README6.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README5.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README4.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README3.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README2.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README10.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2016-10-26 10:28 - 2016-10-28 13:02 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README9.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README8.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README7.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README6.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README5.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README4.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README3.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README2.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README10.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README1.txt
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • User-01001
      [РЕШЕНО] Заражение
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • asmonekus
      Подозрение на заражение системы
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • вася1525
      вирус жрёт файлы. ×
      Автор вася1525
      virusinfo_syscheck.zip
    • TVagapov
      Помощь в дешифровке DarkStar
      Автор TVagapov
      14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe
       
      Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.
       
      Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.
      Logs_Files.7z
×
×
  • Создать...