Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Дешифровка файлов, зараженных вирусом Да Винчи

maksim1maximus
 Поделиться

Рекомендуемые сообщения

maksim1maximus

maksim1maximus

Опубликовано
Опубликовано

Добрый день!!! Был заражен компьютер пользователя при помощи вируса шифровальщика Да Винчи. Мной была проведена работа по обезвреживанию данного вируса методами, описанными в вашем разделе Порядок оформления запроса о помощи. В приложении логи, собранные в процессе анализа системы программой Autologger. Прошу оказать содействие в дешифровке файлов данным вирусом. Заранее благодарю за помощь 

CollectionLog-2016.10.28-12.00.zip

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
ExecuteSysClean;
RebootWindows(true);
end. 
 
Внимание! Будет выполнена перезагрузка компьютера.
 
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

mike 1

mike 1

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано

Сразу видно, что вы невнимательный человек, а невнимательные люди чаще попадают в ловушки. 

maksim1maximus

maksim1maximus

Опубликовано
  • Автор
Опубликовано

Простите


Сразу видно, что вы невнимательный человек, а невнимательные люди чаще попадают в ловушки. 

FRST.txt

mike 1

mike 1

Опубликовано
Опубликовано

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

 


Антивирус уже давно снят с поддержки. К нему базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.
 
 
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {2E3B91D6-CA28-D8E3-8556-0FB2EA3411D3} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
2016-10-27 14:55 - 2016-10-27 14:55 - 03072054 _____ C:\Documents and Settings\Администратор\Application Data\B90C03A1B90C03A1.bmp
2016-10-26 11:54 - 2016-10-26 11:54 - 03072054 _____ C:\Documents and Settings\Bobrov_SG\Application Data\715355AE715355AE.bmp
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README9.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README8.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README7.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README6.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README5.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README4.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README3.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README2.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README10.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2016-10-26 10:28 - 2016-10-28 13:02 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README9.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README8.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README7.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README6.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README5.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README4.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README3.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README2.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README10.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README1.txt
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...