шифровальщик da_vinci_code

[AdMec-Shambler]

Добрый день.

На ПК поработал шифровальщик da_vinci_code. Есть мнение, что впервые шифровальщик поработал ещё летом этого года.

На машине установлен Avast - я остановил его службу, брэндмауэр windows отключен.

Kaspersky Virus Removal Tool 2015 ничего не показал. AutoLogger (версия от 18-11-2015) запускает 2 браузера, работает ещё какое-то время и затем просто вылетает. Создает дамп-файлы в AutoLogger\CrashDumps.

 

Соответственно, CollectionLogs сделать нет возможности. Запустил HiJack и RSIT - во вложениях. 

Файлы report1 и report2 от autologger-а.

Каковы дальнейшие действия?

HiJackThis.log

info.txt

log.txt

report1.log

report2.log

Изменено 26 ноября, 2016 пользователем AdMec-Shambler

[mike 1]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

Код (Text):

var PathAutoLogger, CMDLine : string;

begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
    if FolderIsEmpty(PathAutoLogger+'CrashDumps')
        then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
        else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
        else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/, http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.

[AdMec-Shambler]

Report.Zip `80+мб
 http://rusfolder.com/45431850

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[AdMec-Shambler]

Сделано

 

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  CHR Extension: (Стартовая — Яндекс) - C:\Users\пк\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-10-19]
  CHR Extension: (Новая вкладка – Яндекс) - C:\Users\пк\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdpgllbnilfcbckbdchjcfgopijgllcm [2016-11-09]
  2016-06-04 22:27 - 2016-06-04 22:27 - 3148854 _____ () C:\Users\пк\AppData\Roaming\0DF4B9EB0DF4B9EB.bmp
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[AdMec-Shambler]

Добрый вечер.

Фикслог сформирован, архива на рабочем столе не замечено. Мои действия?

Fixlog.txt

[mike 1]

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525. Из темы не пропадайте пока что, возможно потребуются дополнительные данные для исправлении ошибки в Автологгере.

[AdMec-Shambler]

Добрый вечер. Правильно ли я понимаю, что сперва я прикладываю к заявке до 10мб файлов для, назовем это, пробного расшифрования? Могу ли я потом передать вам для этого большее количество файлов?

[mike 1]

Несколько небольших файлов в архиве прикладываете и ждете ответа. Если расшифровка будет возможна, то вам дадут утилиту для расшифровки остальных файлов.

[AdMec-Shambler]

Запрос оставлен. За темой буду приглядывать

[AdMec-Shambler]

Добрый день!
Хочу вновь поинтересоваться по поводу своего запроса. В прошлый раз мне рекомендовали напомнить о себе примерно в феврале 2017-го. Мне нужно открыть заявку снова?

[Sandor]

Здравствуйте!

 

Запрос оставлен

В запросе поинтересуйтесь. Мы - не сотрудники ЛК.