Перейти к содержанию

Файлы DA_VICI_CODE


Михаил Михайлович

Рекомендуемые сообщения

Здравствуйте!

Вчера обнаружил около 10 папок с зашифрованными файлами.

В журнале  Microsoft Security обнаружен вышеуказанный элемент 28.10.16. 03.34 и удален. В реестре был обнаружен и почищен файл DA_VICI_CODE и еще штуки три похожих.

Утилиты для лечения в разделе "О вирусах" на http://support.kaspersky.ru не помогли.

Прошу помощи в расшифровке файлов.

 

 

CollectionLog-2016.11.08-17.24.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

 

К сожалению с расшифровкой не поможем!

 

Сами ставили TicnoTabs?

 

HiJackThis профиксить

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

 

К сожалению с расшифровкой не поможем!

 

Сами ставили TicnoTabs?

 

HiJackThis профиксить

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

TicnoTab - откуда появился не помню (не знаю). Когда обнаружил код Да Винчи, нашел и снес  TicnoTab из панели управления.

Профиксил. Что дальше - не понял. Искать в инете утилиты расшифровщики?

Просканировал Farbar Recovery Scan Tool.

Получилось сразу два файла FRST.txt и Addition.txt . Файлы прилагаю.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Профиксил. Что дальше - не понял. Искать в инете утилиты расшифровщики?

Вряд ли в интернете найдете утилиту по расшифровки, разве что попадете на мошенников. Пробуйте отслеживать изменения на сайте https://www.nomoreransom.org/

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-2555660408-2521490189-1550053753-1000\...\Run: [AdobeBridge] => [X]
    ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  No File
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKU\S-1-5-21-2555660408-2521490189-1550053753-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
    HKU\S-1-5-21-2555660408-2521490189-1550053753-1000\Software\Microsoft\Internet Explorer\Main,Start Page = ^^egZ$wZemN]ddNXeTp
    BHO: No Name -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> No File
    Toolbar: HKLM - No Name - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -  No File
    Toolbar: HKU\S-1-5-21-2555660408-2521490189-1550053753-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
    Toolbar: HKU\S-1-5-21-2555660408-2521490189-1550053753-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    FF Plugin: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll [No File]
    2015-07-28 14:08 - 2015-07-28 14:08 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{45021593-1A68-4028-A440-C754AAD3FFB6}
    2016-09-21 11:55 - 2016-09-21 11:55 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{550CB760-8AED-4434-8026-8442CECBBE70}
    2016-02-05 17:28 - 2016-02-05 17:28 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{A3DA4FDB-95E7-47AF-877B-CCB0584146BF}
    2016-04-12 08:40 - 2016-04-12 08:40 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{E457C9D2-80C4-4CAD-8C2D-DFB3EBF03147}
    File: C:\ProgramData\FullRemove.exe
    File: C:\Users\Михаил\AppData\Roaming\МКС\wMKS.exe
    AlternateDataStreams: C:\ProgramData\Temp:C8B8CEBD [121]
    AlternateDataStreams: C:\ProgramData\Temp:D8999815 [149]
    AlternateDataStreams: C:\ProgramData\Temp:E7BA7168 [117]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:C8B8CEBD [121]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:D8999815 [149]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:E7BA7168 [117]
    AlternateDataStreams: C:\Users\Михаил\Desktop\Типовой договор на поставку продукции.docx:com.dropbox.attributes [168]
    FirewallRules: [{7DC966DB-F15C-4490-AC6F-2AC85610D470}] => (Allow) C:\Program Files\Ticno\Tabs\Ticno Tabs.exe
    FirewallRules: [{2661F3AB-09C9-4528-8D76-3E149F722327}] => (Allow) C:\Program Files\Ticno\Tabs\Ticno Tabs.exe
    Reboot:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

 

Профиксил. Что дальше - не понял. Искать в инете утилиты расшифровщики?

Вряд ли в интернете найдете утилиту по расшифровки, разве что попадете на мошенников. Пробуйте отслеживать изменения на сайте https://www.nomoreransom.org/

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-2555660408-2521490189-1550053753-1000\...\Run: [AdobeBridge] => [X]
    ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  No File
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKU\S-1-5-21-2555660408-2521490189-1550053753-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
    HKU\S-1-5-21-2555660408-2521490189-1550053753-1000\Software\Microsoft\Internet Explorer\Main,Start Page = ^^egZ$wZemN]ddNXeTp
    BHO: No Name -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> No File
    Toolbar: HKLM - No Name - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -  No File
    Toolbar: HKU\S-1-5-21-2555660408-2521490189-1550053753-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
    Toolbar: HKU\S-1-5-21-2555660408-2521490189-1550053753-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    FF Plugin: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll [No File]
    2015-07-28 14:08 - 2015-07-28 14:08 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{45021593-1A68-4028-A440-C754AAD3FFB6}
    2016-09-21 11:55 - 2016-09-21 11:55 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{550CB760-8AED-4434-8026-8442CECBBE70}
    2016-02-05 17:28 - 2016-02-05 17:28 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{A3DA4FDB-95E7-47AF-877B-CCB0584146BF}
    2016-04-12 08:40 - 2016-04-12 08:40 - 0000000 _____ () C:\Users\Михаил\AppData\Local\{E457C9D2-80C4-4CAD-8C2D-DFB3EBF03147}
    File: C:\ProgramData\FullRemove.exe
    File: C:\Users\Михаил\AppData\Roaming\МКС\wMKS.exe
    AlternateDataStreams: C:\ProgramData\Temp:C8B8CEBD [121]
    AlternateDataStreams: C:\ProgramData\Temp:D8999815 [149]
    AlternateDataStreams: C:\ProgramData\Temp:E7BA7168 [117]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:C8B8CEBD [121]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:D8999815 [149]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:E7BA7168 [117]
    AlternateDataStreams: C:\Users\Михаил\Desktop\Типовой договор на поставку продукции.docx:com.dropbox.attributes [168]
    FirewallRules: [{7DC966DB-F15C-4490-AC6F-2AC85610D470}] => (Allow) C:\Program Files\Ticno\Tabs\Ticno Tabs.exe
    FirewallRules: [{2661F3AB-09C9-4528-8D76-3E149F722327}] => (Allow) C:\Program Files\Ticno\Tabs\Ticno Tabs.exe
    Reboot:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • skyinfire
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
×
×
  • Создать...