Шифровальщик DA_VINCI_CODE.

10 ноября, 2016

Доброго времени суток.

У нас развернут Центр администрирования Касперского с лицензией на 600+ пользователей.

Один из сотрудников поймал шифровальщик.

Файлы зашифрованы DA_VINCI_CODE.

Прикрепляю архив Autologger и файл readme.txt, появившийся после шифрования.

README10.txt

CollectionLog-2016.11.10-14.28.zip

Изменено 10 ноября, 2016 пользователем RGB

10 ноября, 2016

Деинсталлируйте:

SpyHunter 4 [2016/11/10 09:20:13]-->C:\Users\konovalov\AppData\Roaming\Enigma Software Group\sh_installer.exe -r sh

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

11 ноября, 2016

Выполнил все вышеописанное, файлы прилагаю.

Addition.txt

FRST.txt

11 ноября, 2016

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:

CloseProcesses:

2016-11-10 09:19 - 2016-11-10 09:19 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys

2016-11-10 09:19 - 2016-11-10 09:19 - 00000000 ____D C:\Program Files\Enigma Software Group

2016-11-10 09:15 - 2016-11-10 11:47 - 00000000 __SHD C:\Users\Все пользователи\Csrss

2016-11-10 09:15 - 2016-11-10 11:47 - 00000000 __SHD C:\ProgramData\Csrss

2016-11-10 09:14 - 2016-11-10 09:14 - 03148854 _____ C:\Users\mikrukovva\AppData\Roaming\8C4382738C438273.bmp

2016-11-10 09:09 - 2016-11-10 09:09 - 00004162 _____ C:\Users\mikrukovva\Desktop\README9.txt

2016-11-10 09:09 - 2016-11-10 09:09 - 00004162 _____ C:\Users\mikrukovva\Desktop\README8.txt

2016-11-10 09:09 - 2016-11-10 09:09 - 00004162 _____ C:\Users\mikrukovva\Desktop\README7.txt

2016-11-10 09:09 - 2016-11-10 09:09 - 00004162 _____ C:\Users\mikrukovva\Desktop\README6.txt

2016-11-10 09:09 - 2016-11-10 09:09 - 00004162 _____ C:\Users\mikrukovva\Desktop\README5.txt

2016-11-10 09:09 - 2016-11-10 09:09 - 00004162 _____ C:\Users\mikrukovva\Desktop\README4.txt

2016-11-10 09:09 - 2016-11-10 09:09 - 00004162 _____ C:\Users\mikrukovva\Desktop\README3.txt

2016-11-10 09:09 - 2016-11-10 09:09 - 00004162 _____ C:\Users\mikrukovva\Desktop\README2.txt

2016-11-10 09:09 - 2016-11-10 09:09 - 00004162 _____ C:\Users\mikrukovva\Desktop\README10.txt

2016-11-10 09:08 - 2016-11-10 09:15 - 00000000 __SHD C:\Users\Все пользователи\System32

2016-11-10 09:08 - 2016-11-10 09:15 - 00000000 __SHD C:\ProgramData\System32

2016-11-09 18:55 - 2016-11-10 12:17 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-09 18:55 - 2016-11-10 12:17 - 00000000 __SHD C:\ProgramData\Windows

2016-11-10 09:20 - 2016-11-10 09:20 - 00003338 _____ C:\Windows\System32\Tasks\SpyHunter4Startup

2016-11-10 09:20 - 2016-11-10 09:20 - 00001103 _____ C:\Users\konovalov\Desktop\SpyHunter.lnk

2016-11-10 09:20 - 2016-11-10 09:20 - 00000000 ____D C:\sh4ldr

Task: {2B7842EA-6770-40BC-9BB5-FF6CC8732D64} - System32\Tasks\simplitec Power Suite (Tray) => C:\Program Files (x86)\simplitec\KMPFaster\ServiceProvider.exe <==== ATTENTION

Task: {DCEB7243-33D3-49EE-A14C-EC6916980C19} - System32\Tasks\simplitec Power Suite => C:\Program Files (x86)\simplitec\KMPFaster\PowerSuite.exe <==== ATTENTION

Task: C:\Windows\Tasks\simplitec Power Suite (Tray).job => C:\Program Files (x86)\simplitec\KMPFaster\ServiceProvider.exe <==== ATTENTION

Task: C:\Windows\Tasks\simplitec Power Suite.job => C:\Program Files (x86)\simplitec\KMPFaster\PowerSuite.exe <==== ATTENTION

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

11 ноября, 2016

Лог-файл (Fixlog.txt) во вложении.

Fixlog.txt

11 ноября, 2016

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525. Смените все пароли.

Шифровальщик DA_VINCI_CODE.

Рекомендуемые сообщения

RGB

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

RGB

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

RGB

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum