Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

DA_VANCI_CODE помогите дешифровать

Денис Корытов

Автор Денис Корытов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Денис Корытов Новичок

Денис Корытов

Опубликовано
Опубликовано

Доброго времени суток. Наша организация является пользователем лицензионного KES.

Сегодня девушка схватила шифровальщик da_vinci_code.

Помогите расшифровать файлы. Пример файла прикреплен.

2LaEfv1daa-6xPyeB4HM+f+MycE6+JJ3mipDREcf+dw=.D7DAC6E335DD141BFEE7.rar

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
Денис Корытов Новичок

Денис Корытов

Опубликовано
  • Автор
Опубликовано

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

Сделано!

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\hnnladjidikdgfhpendflknomodcbolj [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-09-13]

CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx

2016-11-14 11:00 - 2016-11-14 14:23 - 00000000 __SHD C:\Users\Все пользователи\Csrss

2016-11-14 11:00 - 2016-11-14 14:23 - 00000000 __SHD C:\ProgramData\Csrss

2016-11-14 10:42 - 2016-11-14 10:42 - 03888054 _____ C:\Users\kuzhuget\AppData\Roaming\CF76911BCF76911B.bmp

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README9.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README8.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README7.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README6.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README5.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README4.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README3.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README2.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README10.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README1.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README9.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README8.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README7.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README6.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README5.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README4.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README3.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README2.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README10.txt

2016-11-11 12:36 - 2016-11-14 11:00 - 00000000 __SHD C:\Users\Все пользователи\System32

2016-11-11 12:36 - 2016-11-14 11:00 - 00000000 __SHD C:\ProgramData\System32

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README9.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README8.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README7.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README6.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README5.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README4.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README3.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README2.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README10.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README1.txt

2016-11-11 12:25 - 2016-11-14 14:23 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-11 12:25 - 2016-11-14 14:23 - 00000000 __SHD C:\ProgramData\Windows

C:\Users\kuzhuget\AppData\Local\Temp\GLB1A2B.EXE

Task: {B436B935-DBB1-41D4-B1F9-89FE45278769} - \Realtek HD Audio -> No File <==== ATTENTION

MSCONFIG\startupreg: Client Server Runtime Subsystem => "C:\ProgramData\Windows\csrss.exe"

MSCONFIG\startupreg: CSRSS => "C:\ProgramData\Drivers\csrss.exe"

MSCONFIG\startupreg: NetworkSubsystem => "C:\ProgramData\Csrss\csrss.exe"



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
Денис Корытов Новичок

Денис Корытов

Опубликовано
  • Автор
Опубликовано

Случайно 2 раза сделал процедуру Fix. Надеюсь ничего страшного? На рабочем столе файл *дата_время* не появлялся.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Денис Корытов Новичок

Денис Корытов

Опубликовано
  • Автор
Опубликовано

Обязательно запрос через корпоративный сайт создавать? Или можно через my.kaspersky.com ? Просто на корпоративном какие то проблемы с регистрацией.  Я сапортам написал, но когда они ответят - не известно.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

 

Наша организация является пользователем лицензионного KES.

У вас корпоративный антивирус используется. 

 

 

 

Просто на корпоративном какие то проблемы с регистрацией.

Какие?

Ссылка на комментарий
Поделиться на другие сайты
Денис Корытов Новичок

Денис Корытов

Опубликовано
  • Автор
Опубликовано

вот моё письмо в саппорт 

Доброго времени.
Мы являемся пользователями вашего антивируса.
 
Есть необходимость зарегистрироваться на сайте /companyaccount.kaspersky.com для дешифровки наших файлов.
Но после регистрации при переходе по ссылке  из письма, то выходит ошибка приведенная ниже, то спрашивает создание пароля, а после него уже опять выходит ошибка приведенная ниже. в чем проблема? Помогите пожалуйста
 
Произошел неизвестный сбой при активации учетной записи

При активации учетной записи произошел неизвестный сбой. 
Пожалуйста, пройдите по ссылке еще раз. Если проблема повторится, пожалуйста, обратитесь по адресу companyaccount@kaspersky.com

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • w0r9en
      помогите с майнером Tool.BtcMine.2714
      Автор w0r9en
      Добрый день! Нашел и обезвредил с помощь cureit, потом сделал лог CollectionLog-2025.07.13-15.39.zip
    • Anton3456
      Неудаляемый CHROMIUM:PAGE.MALWARE.URL ПОМОГИТЕ
      Автор Anton3456
      Здравия переустановил винду скачал только стим решил зарание проверить все ДОКТОРОМ ВЕБ .И в итоге нашел вирус  CHROMIUM:PAGE.MALWARE.URL. что делать подскажите пожалуйста .Таже история что и у других людей этот вирус просто не удаляется помогите исправить пожалуйста 

    • Dmdozors1982
      [РЕШЕНО] Помогите удалить tool.btcmine.2794
      Автор Dmdozors1982
      Добрый день, помогите удалить майнер tool.btcmine.2794. Обезвредил его с помощью Curelt, сделал лог, прикрепил
      CollectionLog-2025.07.09-21.11.zip
    • Smorodina
      Словил вирус - URLLINK:MALWARE.URL - помогите избавиться
      Автор Smorodina
      сканировал drweb cureit- обнаружил - вылечить не смог.
      помогите пож-та решить проблему: комп жестко тормозит - вентиллятор охлаждения крутится постоянно
       

    • alexander6624
      помогите пожалуйста удалить вирус.
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

×
×
  • Создать...