Da vinci помогите пожалуйста

[Stanislav37]

Ваши фaйлы были зaшифpoваны.
Чmобы pаcшuфpoваmь uх, Вaм нeобхoдuмо omпpавumь кoд:
ABFBA6F7F556105C48DF|685|6|2
на элeктронный адpeс Novikov.Vavila@gmail.com .
Дaлеe вы noлyчuтe вcе нeобходuмыe uнcmруkцuи.
Пoпыткu расшифpoвать самоcтoяmельно нe приведут ни к чeму, кpоме безвoзвратной пomеpи uнформaции.
Если вы вcё жe хоmumе nonыmaтьcя, то предварительно сделайте резервныe кoпuи фaйлoв, инaчe в cлучae
uх uзмeнeнuя рacшифрoвкa cтaнет невoзможной ни пpu каkих уcлoвиях.

 

Подскажите пожалуйста, что сделать ???

Изменено 11 ноября, 2016 пользователем Stanislav37

[SQ]

Порядок оформления запроса о помощи

[Stanislav37]

Ваши фaйлы были зaшифpoваны.
Чmобы pаcшuфpoваmь uх, Вaм нeобхoдuмо omпpавumь кoд:
ABFBA6F7F556105C48DF|685|6|2
на элeктронный адpeс Novikov.Vavila@gmail.com .
Дaлеe вы noлyчuтe вcе нeобходuмыe uнcmруkцuи.
Пoпыткu расшифpoвать самоcтoяmельно нe приведут ни к чeму, кpоме безвoзвратной пomеpи uнформaции.
Если вы вcё жe хоmumе nonыmaтьcя, то предварительно сделайте резервныe кoпuи фaйлoв, инaчe в cлучae
uх uзмeнeнuя рacшифрoвкa cтaнет невoзможной ни пpu каkих уcлoвиях.

 

Подскажите пожалуйста, что сделать ???

CollectionLog-2016.11.11-17.14.zip

[SQ]

HiJackThis (из каталог автологгера) профиксить

O4 - MSConfig\startupreg:  [CSRSS] "C:\ProgramData\Drivers\csrss.exe" (2016/11/11)
O4 - MSConfig\startupreg:  [Chew7Hale] "C:\Windows\System32\hale.exe" /nolog (2016/11/11)
O4 - MSConfig\startupreg:  [Client Server Runtime Subsystem] "C:\ProgramData\Windows\csrss.exe" (2016/11/11)
O4 - MSConfig\startupreg:  [NetworkSubsystem] "C:\ProgramData\Csrss\csrss.exe" (2016/11/11)

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\ProgramData\Csrss\csrss.exe','');
 QuarantineFile('C:\ProgramData\Drivers\csrss.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('C:\Windows\System32\hale.exe','');
 DeleteFile('C:\ProgramData\Csrss\csrss.exe','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\ProgramData\Drivers\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Chew7Hale','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetworkSubsystem','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Stanislav37]

Большое спасибо за ответ!

В HiJackThis не обнаружил то, что вы перечислили , остальное сделал по инструкции, письмо отослал

 

 

 

Большое спасибо за ответ!

В HiJackThis не обнаружил то, что вы перечислили , остальное сделал по инструкции, письмо отослал

KLAN 5324195159

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe - Trojan.Win32.Agent.nevnwq
csrss_0.exe - Trojan.Win32.Agent.neumtu
csrss_1.exe - Trojan-Ransom.Win32.Shade.lcu

Детектирование файлов будет добавлено в следующее обновление.

. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

KLAN 5324195159

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe - Trojan.Win32.Agent.nevnwq
csrss_0.exe - Trojan.Win32.Agent.neumtu
csrss_1.exe - Trojan-Ransom.Win32.Shade.lcu

Детектирование файлов будет добавлено в следующее обновление.

[mike 1]

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 

Где?

[SQ]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Так и не приложили ранее запрошенные логи.

[Stanislav37]

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Так и не приложили ранее запрошенные логи.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Так и не приложили ранее запрошенные логи.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Так и не приложили ранее запрошенные логи.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Так и не приложили ранее запрошенные логи.

 

CollectionLog-2016.11.14-10.47.zip

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Stanislav37]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  CHR HKU\S-1-5-21-32978221-2621088996-1702483893-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  CHR Plugin: (Shockwave Flash) - C:\Users\Пользователь\AppData\Local\Google\Chrome\Application\54.0.2840.71\PepperFlash\pepflashplayer.dll => No File
  CHR Plugin: (Native Client) - C:\Users\Пользователь\AppData\Local\Google\Chrome\Application\54.0.2840.71\ppGoogleNaClPluginChrome.dll => No File
  CHR Plugin: (Chrome PDF Viewer) - C:\Users\Пользователь\AppData\Local\Google\Chrome\Application\54.0.2840.71\pdf.dll => No File
  2016-11-10 21:18 - 2016-11-11 18:06 - 00000000 __SHD C:\Users\Все пользователи\Csrss
  2016-11-10 21:18 - 2016-11-11 18:06 - 00000000 __SHD C:\ProgramData\Csrss
  2016-11-10 21:17 - 2016-11-10 21:17 - 03932214 _____ C:\Users\Пользователь\AppData\Roaming\92F6813A92F6813A.bmp
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Пользователь\Desktop\README9.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Пользователь\Desktop\README8.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Пользователь\Desktop\README7.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Пользователь\Desktop\README6.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Пользователь\Desktop\README5.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Пользователь\Desktop\README4.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Пользователь\Desktop\README3.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Пользователь\Desktop\README2.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Пользователь\Desktop\README10.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Пользователь\Desktop\README1.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Public\Desktop\README9.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Public\Desktop\README8.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Public\Desktop\README7.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Public\Desktop\README6.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Public\Desktop\README5.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Public\Desktop\README4.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Public\Desktop\README3.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Public\Desktop\README2.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Public\Desktop\README10.txt
  2016-11-10 21:17 - 2016-11-10 21:17 - 00004178 _____ C:\Users\Public\Desktop\README1.txt
  2016-11-10 19:57 - 2016-11-10 21:17 - 00000000 __SHD C:\Users\Все пользователи\System32
  2016-11-10 19:57 - 2016-11-10 21:17 - 00000000 __SHD C:\ProgramData\System32
  2016-11-10 19:56 - 2016-11-10 19:56 - 00004178 _____ C:\README9.txt
  2016-11-10 19:56 - 2016-11-10 19:56 - 00004178 _____ C:\README8.txt
  2016-11-10 19:56 - 2016-11-10 19:56 - 00004178 _____ C:\README7.txt
  2016-11-10 19:56 - 2016-11-10 19:56 - 00004178 _____ C:\README6.txt
  2016-11-10 19:56 - 2016-11-10 19:56 - 00004178 _____ C:\README5.txt
  2016-11-10 19:56 - 2016-11-10 19:56 - 00004178 _____ C:\README4.txt
  2016-11-10 19:56 - 2016-11-10 19:56 - 00004178 _____ C:\README3.txt
  2016-11-10 19:56 - 2016-11-10 19:56 - 00004178 _____ C:\README2.txt
  2016-11-10 19:56 - 2016-11-10 19:56 - 00004178 _____ C:\README10.txt
  2016-11-10 19:56 - 2016-11-10 19:56 - 00004178 _____ C:\README1.txt
  2016-11-10 19:46 - 2016-11-11 18:06 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2016-11-10 19:46 - 2016-11-11 18:06 - 00000000 __SHD C:\ProgramData\Windows
  2016-11-10 21:17 - 2016-11-10 21:17 - 3932214 _____ () C:\Users\Пользователь\AppData\Roaming\92F6813A92F6813A.bmp
  C:\Users\Пользователь\AppData\Local\Temp\ABFF997D.exe
  C:\Users\Пользователь\AppData\Local\Temp\E3D54596.exe
  CustomCLSID: HKU\S-1-5-21-32978221-2621088996-1702483893-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-32978221-2621088996-1702483893-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-32978221-2621088996-1702483893-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-32978221-2621088996-1702483893-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-32978221-2621088996-1702483893-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-32978221-2621088996-1702483893-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-32978221-2621088996-1702483893-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-32978221-2621088996-1702483893-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-32978221-2621088996-1702483893-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-32978221-2621088996-1702483893-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-32978221-2621088996-1702483893-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Пользователь\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
  File: C:\Windows\System32\hale.exe
  Zip: C:\Windows\System32\hale.exe
  MSCONFIG\startupreg: Client Server Runtime Subsystem =>
  MSCONFIG\startupreg: CSRSS =>
  MSCONFIG\startupreg: NetworkSubsystem =>
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

Файл Upload.zip с рабочего стола отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

[Stanislav37]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Файл Upload.zip с рабочего стола отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл Upload.zip отсутсвует..

 

Был создан файл на рабочем столе 14.11.2016_13.35.05.zip весит 1 КБ

 

Ответ с почты newvirus@kaspersky.com

"Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

 

14.11.2016_13.35.05.zip

 

Вредоносный код в файле не обнаружен."

 

KLAN-5336332163

Fixlog.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  MSCONFIG\startupreg: Chew7Hale => "C:\Windows\System32\hale.exe" /nolog
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetworkSubsystem]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Chew7Hale]
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Stanislav37]

 

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  MSCONFIG\startupreg: Chew7Hale => "C:\Windows\System32\hale.exe" /nolog
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetworkSubsystem]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Chew7Hale]
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

Компьютер не перезагружался

Fixlog.txt

[SQ]

С расшифровкой не поможем.