Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

На ПК поработал шифровальщик da_vinci_code. Есть мнение, что впервые шифровальщик поработал ещё летом этого года.

На машине установлен Avast - я остановил его службу, брэндмауэр windows отключен.

Kaspersky Virus Removal Tool 2015 ничего не показал. AutoLogger (версия от 18-11-2015) запускает 2 браузера, работает ещё какое-то время и затем просто вылетает. Создает дамп-файлы в AutoLogger\CrashDumps.

 

Соответственно, CollectionLogs сделать нет возможности. Запустил HiJack и RSIT - во вложениях. 

Файлы report1 и report2 от autologger-а.

Каковы дальнейшие действия?

HiJackThis.log

info.txt

log.txt

report1.log

report2.log

Изменено пользователем AdMec-Shambler
Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

Код (Text):
var PathAutoLogger, CMDLine : string;

begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
    if FolderIsEmpty(PathAutoLogger+'CrashDumps')
        then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
        else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
        else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/, http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicy\User: Restriction <======= ATTENTION
    CHR Extension: (Стартовая — Яндекс) - C:\Users\пк\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-10-19]
    CHR Extension: (Новая вкладка – Яндекс) - C:\Users\пк\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdpgllbnilfcbckbdchjcfgopijgllcm [2016-11-09]
    2016-06-04 22:27 - 2016-06-04 22:27 - 3148854 _____ () C:\Users\пк\AppData\Roaming\0DF4B9EB0DF4B9EB.bmp
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на сообщение
Поделиться на другие сайты

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525. Из темы не пропадайте пока что, возможно потребуются дополнительные данные для исправлении ошибки в Автологгере.

Ссылка на сообщение
Поделиться на другие сайты

Добрый вечер. Правильно ли я понимаю, что сперва я прикладываю к заявке до 10мб файлов для, назовем это, пробного расшифрования? Могу ли я потом передать вам для этого большее количество файлов?

Ссылка на сообщение
Поделиться на другие сайты

Несколько небольших файлов в архиве прикладываете и ждете ответа. Если расшифровка будет возможна, то вам дадут утилиту для расшифровки остальных файлов.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 months later...

Добрый день!
Хочу вновь поинтересоваться по поводу своего запроса. В прошлый раз мне рекомендовали напомнить о себе примерно в феврале 2017-го. Мне нужно открыть заявку снова?

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • phonevivo
      От phonevivo
      Кажется что словил вирус и похоже майнер, не знал что делать почитал про программы и увидел AVZ, скачал на радости, закрывается, перешёл в безопасный режим, тоже закрывается, если кто может помогите пожалуйста!
    • Nana24
      От Nana24
      Внезапно комп начал тормозить при включении, вплоть до полного зависания.
      Накануне не было ничего скачано или установлено. Все антивирусы ничего не показывают, доктор Вэб, Авира и т. д. Диспетчер демонстрирует аномальное количество процессов.
      Логи ниже. Буду очень рада помощи!
      CollectionLog-2021.10.18-19.00.zip
    • Megapolis
      От Megapolis
      Добрый день!
      На рабочем компьютере с рабочей почты словили трояна, который зашифровал большинство файлов. На рабочем столе появилась заставка с красой надписью на черном фоне:
      Внимание! Все важные файлы на всех ваших дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt, которые можно найти на любом из дисков.
      Расширение файлов: DA_VINCI_CODE
      В приложении: сохраненный отчет проверки Касперского и архив с логами.
      CollectionLog-2016.07.15-14.58.zip
      Проверка 15-07-2016.txt
    • ursa
      От ursa
      Помогите вылечить и расшифровать!
      Текст сообщения Давинча:
       
      сделал как вы говорили
      Farbar Recovery Scan Tool:
       
      Результат  прикреплен ниже
      FRST.txt
      Addition.txt
    • Nsmok1987
      От Nsmok1987
      Здравствуйте, пожалуйста помогите, на моем компьютере все файлы зашифрованы вирусом, который имеет расширение файла DA_VINCI_CODE. Данная проблема возникла после того как на адрес моей элеронной почты (mail), поступило письмо, которое звучало следующим образом: "Николай, вы имеете задолжность перед бухгалтерией", после чего мной был скачен файл ZIP, разархивирован и запущен какой-то файл, походящий на файл .EXE. После его запуска, я понял, что поймал какой-то вирус, я удалил данный файл и почистил почту, но было уже поздно. Файлы на компьютере стали шифроваться. Пока я принимал меры по поиску вируса и его удалению, все файлы уже были зашифрованы. На рабочем столе возникли текстовые документы, в которых говорилось, "Все файлы на компьютере зашифрованы, не пытайтесь их самостоятельно расшифровать, это приведет к их утере". 
      В настоящее время вирус я удалил, но расшифровать файлы не получается, пробовал разные утилиты, но без толку. 
      Прошу Вашей помощи! За ранее Спасибо!
      С уважением, Николай.
      CollectionLog-2016.12.12-18.22.zip
×
×
  • Создать...