Михаил Михайлович Опубликовано 8 ноября, 2016 Share Опубликовано 8 ноября, 2016 Здравствуйте! Вчера обнаружил около 10 папок с зашифрованными файлами. В журнале Microsoft Security обнаружен вышеуказанный элемент 28.10.16. 03.34 и удален. В реестре был обнаружен и почищен файл DA_VICI_CODE и еще штуки три похожих. Утилиты для лечения в разделе "О вирусах" на http://support.kaspersky.ru не помогли. Прошу помощи в расшифровке файлов. CollectionLog-2016.11.08-17.24.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 8 ноября, 2016 Share Опубликовано 8 ноября, 2016 Здравствуйте, К сожалению с расшифровкой не поможем! Сами ставили TicnoTabs? HiJackThis профиксить O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Михаил Михайлович Опубликовано 9 ноября, 2016 Автор Share Опубликовано 9 ноября, 2016 Здравствуйте, К сожалению с расшифровкой не поможем! Сами ставили TicnoTabs? HiJackThis профиксить O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. TicnoTab - откуда появился не помню (не знаю). Когда обнаружил код Да Винчи, нашел и снес TicnoTab из панели управления. Профиксил. Что дальше - не понял. Искать в инете утилиты расшифровщики? Просканировал Farbar Recovery Scan Tool. Получилось сразу два файла FRST.txt и Addition.txt . Файлы прилагаю. Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 9 ноября, 2016 Share Опубликовано 9 ноября, 2016 Профиксил. Что дальше - не понял. Искать в инете утилиты расшифровщики? Вряд ли в интернете найдете утилиту по расшифровки, разве что попадете на мошенников. Пробуйте отслеживать изменения на сайте https://www.nomoreransom.org/ Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-2555660408-2521490189-1550053753-1000\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-2555660408-2521490189-1550053753-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn HKU\S-1-5-21-2555660408-2521490189-1550053753-1000\Software\Microsoft\Internet Explorer\Main,Start Page = ^^egZ$wZemN]ddNXeTp BHO: No Name -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> No File Toolbar: HKLM - No Name - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No File Toolbar: HKU\S-1-5-21-2555660408-2521490189-1550053753-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-2555660408-2521490189-1550053753-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File FF Plugin: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll [No File] 2015-07-28 14:08 - 2015-07-28 14:08 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{45021593-1A68-4028-A440-C754AAD3FFB6} 2016-09-21 11:55 - 2016-09-21 11:55 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{550CB760-8AED-4434-8026-8442CECBBE70} 2016-02-05 17:28 - 2016-02-05 17:28 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{A3DA4FDB-95E7-47AF-877B-CCB0584146BF} 2016-04-12 08:40 - 2016-04-12 08:40 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{E457C9D2-80C4-4CAD-8C2D-DFB3EBF03147} File: C:\ProgramData\FullRemove.exe File: C:\Users\Михаил\AppData\Roaming\МКС\wMKS.exe AlternateDataStreams: C:\ProgramData\Temp:C8B8CEBD [121] AlternateDataStreams: C:\ProgramData\Temp:D8999815 [149] AlternateDataStreams: C:\ProgramData\Temp:E7BA7168 [117] AlternateDataStreams: C:\Users\Все пользователи\Temp:C8B8CEBD [121] AlternateDataStreams: C:\Users\Все пользователи\Temp:D8999815 [149] AlternateDataStreams: C:\Users\Все пользователи\Temp:E7BA7168 [117] AlternateDataStreams: C:\Users\Михаил\Desktop\Типовой договор на поставку продукции.docx:com.dropbox.attributes [168] FirewallRules: [{7DC966DB-F15C-4490-AC6F-2AC85610D470}] => (Allow) C:\Program Files\Ticno\Tabs\Ticno Tabs.exe FirewallRules: [{2661F3AB-09C9-4528-8D76-3E149F722327}] => (Allow) C:\Program Files\Ticno\Tabs\Ticno Tabs.exe Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Михаил Михайлович Опубликовано 9 ноября, 2016 Автор Share Опубликовано 9 ноября, 2016 Профиксил. Что дальше - не понял. Искать в инете утилиты расшифровщики? Вряд ли в интернете найдете утилиту по расшифровки, разве что попадете на мошенников. Пробуйте отслеживать изменения на сайте https://www.nomoreransom.org/ Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-2555660408-2521490189-1550053753-1000\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-2555660408-2521490189-1550053753-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn HKU\S-1-5-21-2555660408-2521490189-1550053753-1000\Software\Microsoft\Internet Explorer\Main,Start Page = ^^egZ$wZemN]ddNXeTp BHO: No Name -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> No File Toolbar: HKLM - No Name - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No File Toolbar: HKU\S-1-5-21-2555660408-2521490189-1550053753-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-2555660408-2521490189-1550053753-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File FF Plugin: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll [No File] 2015-07-28 14:08 - 2015-07-28 14:08 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{45021593-1A68-4028-A440-C754AAD3FFB6} 2016-09-21 11:55 - 2016-09-21 11:55 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{550CB760-8AED-4434-8026-8442CECBBE70} 2016-02-05 17:28 - 2016-02-05 17:28 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{A3DA4FDB-95E7-47AF-877B-CCB0584146BF} 2016-04-12 08:40 - 2016-04-12 08:40 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{E457C9D2-80C4-4CAD-8C2D-DFB3EBF03147} File: C:\ProgramData\FullRemove.exe File: C:\Users\Михаил\AppData\Roaming\МКС\wMKS.exe AlternateDataStreams: C:\ProgramData\Temp:C8B8CEBD [121] AlternateDataStreams: C:\ProgramData\Temp:D8999815 [149] AlternateDataStreams: C:\ProgramData\Temp:E7BA7168 [117] AlternateDataStreams: C:\Users\Все пользователи\Temp:C8B8CEBD [121] AlternateDataStreams: C:\Users\Все пользователи\Temp:D8999815 [149] AlternateDataStreams: C:\Users\Все пользователи\Temp:E7BA7168 [117] AlternateDataStreams: C:\Users\Михаил\Desktop\Типовой договор на поставку продукции.docx:com.dropbox.attributes [168] FirewallRules: [{7DC966DB-F15C-4490-AC6F-2AC85610D470}] => (Allow) C:\Program Files\Ticno\Tabs\Ticno Tabs.exe FirewallRules: [{2661F3AB-09C9-4528-8D76-3E149F722327}] => (Allow) C:\Program Files\Ticno\Tabs\Ticno Tabs.exe Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 9 ноября, 2016 Share Опубликовано 9 ноября, 2016 На этом всё! Как ранее было написано с расшифровкой не поможем! Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти