Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Файлы зашифрованы .da_vinci_code (http://forum.oszone.net/showthread.php?t=317430)

newpdv 02-08-2016 17:11 2656202
Файлы зашифрованы .da_vinci_code
 
На экране сообщение: "Внимание! Все важные файлы на всех ваших дисках были зашифрованы."
Вирус был занесен сотрудником с почты.
Файлы имеют названия:
4VtqB8ox+Y3NRCCgPHu-omQqZFoHaAFRA8Jbm9Edmyq9YtoYlMT+iw9sLG6WEWCu.B800847FED95682C7CD2.da_vinci_code

newpdv 02-08-2016 17:23 2656205
Вложений: 1
Логи во вложении

newpdv 02-08-2016 17:29 2656208
В архиве https://yadi.sk/d/AH9wRyNjtrMjR :
8.exe - было в процессах, возможно вирусный исполняемый файл
scet 25553.z - пришло по почте, и в последствии было запущено на ПК
DaXsHjL6KtksvuZW5I33bw==.B800847FED95682C7CD2.da_vinci_code - пример зашифрованного файла

пароль oszone

Sandor 03-08-2016 08:38 2656387
Здравствуйте!

Пофиксите в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://itrecheck.com/l3Mfqs/652n.ruj
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(Default) = 0http://itrecheck.com/l3Mfqs/652n.ruj
Дополнительно:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

newpdv 03-08-2016 16:00 2656539
Вложений: 1
FRST отчеты прилагаю

Sandor 03-08-2016 16:09 2656546
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
CHR Extension: (Стартовая — Яндекс) - C:\Users\Менеджер\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2016-06-27]
2016-08-02 14:34 - 2016-08-02 14:34 - 03888054 _____ C:\Users\Менеджер\AppData\Roaming\05C2DC7805C2DC78.bmp
2016-08-02 13:53 - 2016-08-02 16:33 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-08-02 13:53 - 2016-08-02 16:33 - 00000000 __SHD C:\ProgramData\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

newpdv 03-08-2016 17:14 2656565
Вложений: 1
лог

Sandor 03-08-2016 20:55 2656633
С расшифровкой, увы, помочь не сможем.


Время: 20:46.

Время: 20:46.
© OSzone.net 2001-