Перейти к содержанию

Дешифровка файлов, зараженных вирусом Да Винчи

maksim1maximus
 Share Подписчики 0

Рекомендуемые сообщения

maksim1maximus

maksim1maximus 0

Опубликовано
Опубликовано

Добрый день!!! Был заражен компьютер пользователя при помощи вируса шифровальщика Да Винчи. Мной была проведена работа по обезвреживанию данного вируса методами, описанными в вашем разделе Порядок оформления запроса о помощи. В приложении логи, собранные в процессе анализа системы программой Autologger. Прошу оказать содействие в дешифровке файлов данным вирусом. Заранее благодарю за помощь 

CollectionLog-2016.10.28-12.00.zip

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
ExecuteSysClean;
RebootWindows(true);
end. 
 
Внимание! Будет выполнена перезагрузка компьютера.
 
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Сразу видно, что вы невнимательный человек, а невнимательные люди чаще попадают в ловушки. 

Ссылка на сообщение
Поделиться на другие сайты
maksim1maximus

maksim1maximus 0

Опубликовано
  • Автор
Опубликовано

Простите


Сразу видно, что вы невнимательный человек, а невнимательные люди чаще попадают в ловушки. 

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

 


Антивирус уже давно снят с поддержки. К нему базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.
 
 
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426742032&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {2E3B91D6-CA28-D8E3-8556-0FB2EA3411D3} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1757981266-1275210071-1177238915-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=TOSHIBAXMK1646GSX_58SUC30DTXX58SUC30DT&ts=1426742108&type=default&q={searchTerms}
2016-10-27 14:55 - 2016-10-27 14:55 - 03072054 _____ C:\Documents and Settings\Администратор\Application Data\B90C03A1B90C03A1.bmp
2016-10-26 11:54 - 2016-10-26 11:54 - 03072054 _____ C:\Documents and Settings\Bobrov_SG\Application Data\715355AE715355AE.bmp
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README9.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README8.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README7.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README6.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README5.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README4.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README3.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README2.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00004178 _____ C:\Documents and Settings\Bobrov_SG\Рабочий стол\README10.txt
2016-10-26 11:54 - 2016-10-26 11:54 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2016-10-26 10:28 - 2016-10-28 13:02 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README9.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README8.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README7.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README6.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README5.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README4.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README3.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README2.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README10.txt
2016-10-26 10:28 - 2016-10-26 10:28 - 00004178 _____ C:\README1.txt
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Monkkka
      Зашифрованы файлы , trojan.ransom.generic
      От Monkkka
      Вирус :trojan.ransom.generic зашифровал файлы. Файлы стали иметь расширение , которые представляет собой набор букв и цирф. (.odkf .3y64 .7412 и тп.). Пробовал обращаться в тех. поддержку, юзать разные дешифраторы - не помогло. README.txt ниже. Как расшифровать данные файлы?!


      На китайский язык не обращайте внимания, я поставил его сам, в личных целях

    • Neo_spb
      Прошу помощи с дешифровкой_[johnhelper777@gmx.de].decrypt
      От Neo_spb
      Прошу помощи с дешифровкой. Ситуация следующая: по RDP на сервере в ручном режиме запустили Fast.exe, который все имеющиеся файлы зашифровал как у себя, так и по всей подключенной сети (на других серверах и на других пользовательских ПК). Есть часть данных, которые очень хотелось бы вернуть. 
      Адрес злоумышленника известен: johnhelper777@dmx.de. Телеграмм: @restoredata77. Ему написали, но пока без ответа. Просят деньги в биткоинах. 
      Во вложении - архив с несколькими шифрованными файлами. Можете подсказать по ситуации как действовать?
       
      Test.zip
    • AgentSAB
      LIZARD шифровальщик
      От AgentSAB
      Доброго времени суток.
      Пользователь где-то словил шифровальщик LIZARD
      Помогите с дешифровкой.
      Прикрепляю логи, зашифрованные файлы и требование шифровальщика. Сам файл шифровальщика не нашёл.
      Спасибо
      Логи.rar Зашифрованные файлы.rar Требование.rar
    • PavelWRC
      [РЕШЕНО] Дешифровка файлов с расширением .wannacash.zip
      От PavelWRC
      Здравствуйте! Столкнулся с шифровальшиком. Некоторые файлы на ПК оказались зашифрованы в архивы с расширением .wannacash.zip. А на рабочем столе появился файл "как расшифровать файлы.txt" в котором содержится информация о способе расшифровки - предлагается связаться со злоумышленником.
       
      Имя архивов, в которые поместились файлы после шифрования задано по маске: Файл зашифрован ["имя оригинального файла.расширение"].wannacash .zip
       
      Прошу помощи в расшифровке. 
      Файл протоколов (логов), собранный в соответствии с правилами форума к сообщению прикладываю.
      CollectionLog-2020.04.11-16.51.zip
    • tolevich
      Зашифрованы файлы .harma
      От tolevich
      Здравствуйте, сегодня зашел на сервер по RDP а там все файлы зашифрованы и имеют расширение .harma, прилагаю файл от  Farbar Recovery Scan Tool Прошу помочь с решением данной проблемы
       
      FRST.txt
      CollectionLog-2020.01.21-10.15.zip
×
×
  • Создать...