Вирус код да винчи

1 ноября, 2016

Вирус получил секретарь по почте или неизвестно откуда, все важные документы зашифрованы.

Bаши файлы были зашuфрованы.

Чmобы paсшuфрoвamь ux, Вам нeобходuмo оmnравuть кoд:

AD55EF53DF433E8A4F02|620|6|8

на элekmронный адрес VladimirScherbinin1991@gmail.com .

Дaлеe вы пoлучumе вcе неoбхoдuмые инcтpykцuu.

Пoпытки раcшифровaть cамocтoяmeльнo не прuведут ни k чему, kpомe безвозвpaтнoй noтepи инфоpмациu.

Еcлu вы вcё же хoтите nоnыmaться, mo прeдваpumeльнo сдeлайтe peзервныe kоnuu фaйлов, иначe в случаe

иx uзмененuя рacшuфpoвкa станem нeвoзможной нu nри kaких уcлoвuях.

Если вы не полyчuли omвеma пo вышeyказаннoмy адрecy в mечениe 48 чacов (и тольkо в эmoм cлyчаe!),

вocпользуйтeсь формoй oбpamнoй связи. Этo можно сдeлать двумя cпосoбамu:

1) Сkачайте u уcтaновиme Tor Browser no ccылкe: https://www.torproject.org/download/download-easy.html.en

B aдрeснoй cтpоkе Tor Browser-a ввeдume aдpеc:

http://cryptsen7fo43rr6.onion/

и нажмиme Enter. 3аrpузumся страница c формoй обpamнoй cвязu.

2) В любом браузеpе перейдuте по одному uз aдрeсoв:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

AD55EF53DF433E8A4F02|620|6|8

to e-mail address VladimirScherbinin1991@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

If you still want to try to decrypt them by yourself please make a backup at first because

the decryption will become impossible in case of any changes inside the files.

If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),

use the feedback form. You can do it by two ways:

1) Download Tor Browser from here:

https://www.torproject.org/download/download-easy.html.en

Install it and type the following address into the address bar:

http://cryptsen7fo43rr6.onion/

Press Enter and then the page with feedback form will be loaded.

2) Go to the one of the following addresses in any browser:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

CollectionLog-2016.11.01-11.13.zip

Изменено 1 ноября, 2016 пользователем Монгуш

1 ноября, 2016

А секретарь небось как обычно сидел с правами админа?

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 QuarantineFile('C:\Users\Аяна\appdata\roaming\update\update.exe','');
 QuarantineFile('C:\Users\Аяна\appdata\roaming\update\explorer.exe','');
 QuarantineFile('C:\Users\Аяна\appdata\roaming\c731200','');
 DeleteFile('C:\Users\Аяна\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\Аяна\appdata\roaming\update\explorer.exe','32');
 DeleteFile('C:\Users\Аяна\appdata\roaming\update\update.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

Сделайте новые логи Автологгером.

1 ноября, 2016

Нет она на пользовательским режиме сидела, говорит выскочил окно и нажала ДА или ОК точно не помнит.

Отправил сообщение на вашу почту

1 ноября, 2016

И где новые логи?

3 ноября, 2016

Отправил новые логи прошу рассмотреть.

CollectionLog-2016.11.03-10.27.zip

3 ноября, 2016

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

4 ноября, 2016

Выложил логи, проверьте пожалуйста!

Addition.txt

FRST.txt

4 ноября, 2016

Нет она на пользовательским режиме сидела, говорит выскочил окно и нажала ДА или ОК точно не помнит.

А врать не хорошо.

Аяна (S-1-5-21-1549307028-3686102715-30120491-1000 - Administrator - Enabled) => C:\Users\Аяна

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
2016-10-26 14:20 - 2016-10-26 14:20 - 03133494 _____ C:\Users\Аяна\AppData\Roaming\857701CD857701CD.bmp
2016-10-26 14:20 - 2016-10-26 14:20 - 00004210 _____ C:\Users\Аяна\Desktop\README9.txt
2016-10-26 14:20 - 2016-10-26 14:20 - 00004210 _____ C:\Users\Аяна\Desktop\README8.txt
2016-10-26 14:20 - 2016-10-26 14:20 - 00004210 _____ C:\Users\Аяна\Desktop\README7.txt
2016-10-26 14:20 - 2016-10-26 14:20 - 00004210 _____ C:\Users\Аяна\Desktop\README6.txt
2016-10-26 14:20 - 2016-10-26 14:20 - 00004210 _____ C:\Users\Аяна\Desktop\README5.txt
2016-10-26 14:20 - 2016-10-26 14:20 - 00004210 _____ C:\Users\Аяна\Desktop\README4.txt
2016-10-26 14:20 - 2016-10-26 14:20 - 00004210 _____ C:\Users\Аяна\Desktop\README3.txt
2016-10-26 14:20 - 2016-10-26 14:20 - 00004210 _____ C:\Users\Аяна\Desktop\README2.txt
2016-10-26 14:20 - 2016-10-26 14:20 - 00004210 _____ C:\Users\Аяна\Desktop\README10.txt
2016-10-26 13:48 - 2016-10-26 14:21 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-10-26 13:48 - 2016-10-26 14:21 - 00000000 __SHD C:\ProgramData\System32
2016-10-26 13:47 - 2016-10-31 14:15 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-26 13:47 - 2016-10-31 14:15 - 00000000 __SHD C:\ProgramData\Windows

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

Вирус код да винчи

Рекомендуемые сообщения

Монгуш

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Монгуш

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Монгуш

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Монгуш

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum