Показано с 1 по 19 из 19.

da_vinci_code [Trojan.Win32.Fsysna.dtsa ] (заявка № 203177)

  1. #1
    Junior Member Репутация
    Регистрация
    18.08.2016
    Сообщений
    10
    Вес репутации
    28

    da_vinci_code [Trojan.Win32.Fsysna.dtsa ]

    Здравствуйте, получил для восстановления документов рабочую станцию - файлы зашифрованы da_vinci_code. Подскажите что нужно сделать и какие пути решения проблемы. Сейчас система на зараженном ПК запущена в безопасном режиме. Стоял kaspersky endpoint security 10.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Arnion, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    18.08.2016
    Сообщений
    10
    Вес репутации
    28
    [email protected] мыло прописанное в readme файле

    - - - - -Добавлено - - - - -

    алгоритм шифрования RSA-3072

    судя по проверке на https://id-ransomware.malwarehunterteam.com - Troldesh
    Последний раз редактировалось Arnion; 18.08.2016 в 09:57.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Стоял kaspersky endpoint security 10.
    С выключенным модулем Мониторинг системы, угадал?

    http://virusinfo.info/pravila.html
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  6. #5
    Junior Member Репутация
    Регистрация
    18.08.2016
    Сообщений
    10
    Вес репутации
    28
    скорее всего да.. при заходе в обычном режиме посмотреть не удается.. пытается запуститься процесс с командной строки, который хочет снести все теневые копии.. сейчас сделаю логи

    - - - - -Добавлено - - - - -

    логи

    - - - - -Добавлено - - - - -

    Цитата Сообщение от mike 1 Посмотреть сообщение
    С выключенным модулем Мониторинг системы, угадал?

    http://virusinfo.info/pravila.html
    жду ответа
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
     DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-1330492538-880800676-2451736691-2736\Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  8. #7
    Junior Member Репутация
    Регистрация
    18.08.2016
    Сообщений
    10
    Вес репутации
    28
    карантин отправил, логи отправил..
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    скорее всего да.
    Так да или нет?

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  10. #9
    Junior Member Репутация
    Регистрация
    18.08.2016
    Сообщений
    10
    Вес репутации
    28
    я не стал смотреть - станция рабочая не моя, запускается процесс, который пытается стереть все теневые копии, комп в домене, не мой, от одного из работников. Подтверждать всякую ересь своей админской учеткой не буду только ради того, чтобы посмотреть на каспер в обычном режиме, так как в безопасном он не запускается. Там тонна документов, которые хотелось бы восстановить и дешифровать. Процесс пытается запуститься постоянно. Ну если вы конечно не скажете, как можно обойти это чудо с всплывающим окном контроля учетных записей. Так как уж очень не хотелось бы, чтобы там еще все хуже стало.

    - - - - -Добавлено - - - - -

    пожалуйста
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Второго лога не вижу.

    Boot Mode: Safe Mode (minimal)
    И да логи нужны из обычного режима.

    станция рабочая не моя, запускается процесс, который пытается стереть все теневые копии
    Он вам уже их удалил.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  12. #11
    Junior Member Репутация
    Регистрация
    18.08.2016
    Сообщений
    10
    Вес репутации
    28
    второй лог влез только архивом.. ограничение на загрузку вложений на сайт..

    - - - - -Добавлено - - - - -

    по-ходу дела выяснилось, что компонент вообще не был установлен.. скриншоты прикрепил

    - - - - -Добавлено - - - - -

    если конечно это те логи
    Вложения Вложения
    • Тип файла: zip FRST.zip (86.0 Кб, 2 просмотров)
    • Тип файла: zip L.zip (528.7 Кб, 1 просмотров)

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

    1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      2016-08-15 18:07 - 2016-08-15 18:07 - 03932214 _____ C:\Users\Poroshin\AppData\Roaming\D57D1D46D57D1D46.bmp
      2016-08-15 17:15 - 2016-08-15 17:15 - 01133056 _____ (Masters ITC Tools) C:\Users\Poroshin\AppData\Roaming.exe
      2016-08-15 17:15 - 2008-01-01 02:25 - 00000000 __SHD C:\Users\Все пользователи\Windows
      2016-08-15 17:15 - 2008-01-01 02:25 - 00000000 __SHD C:\ProgramData\Windows
      zip:C:\FRST\Quarantine
      Folder: C:\ProgramData\Kaspersky Lab
    3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    4. Обратите внимание, что компьютер будет перезагружен.
    5. Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  14. #13
    Junior Member Репутация
    Регистрация
    18.08.2016
    Сообщений
    10
    Вес репутации
    28
    fixlog есть, upload не появился, пожалуйста принимайте
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    С выключенным модулем Мониторинг системы, угадал?
    скорее всего да.
    Так да или нет?
    Подтверждать всякую ересь своей админской учеткой не буду только ради того
    Вот эта "ересь" и стоила вам и вашим драгоценным данным. А уже видно что нет.

    Код:
    2015-03-26 14:04 - 2015-07-24 11:40 - 0000000 ____D () C:\ProgramData\Kaspersky Lab\KES10\SysWHist
    2015-07-24 11:40 - 2015-07-24 11:40 - 0065536 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\bsr-0.swp
    2015-07-24 11:40 - 2015-07-24 11:40 - 0065536 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\bsr-1.swp
    2015-07-24 11:40 - 2016-07-27 06:15 - 0393216 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\global-0.swp
    2015-07-24 11:40 - 2015-07-24 11:40 - 0065536 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\global-1.swp
    2015-07-24 11:40 - 2015-07-24 11:40 - 0065536 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\global-2.swp
    2015-07-24 11:40 - 2015-07-24 11:40 - 0065536 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\prag-0.swp
    2015-07-24 11:40 - 2015-07-24 11:40 - 0065536 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\prag-1.swp
    2015-07-24 11:40 - 2015-07-24 11:40 - 0065536 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\prag-2.swp
    2015-07-24 11:40 - 2016-06-23 18:15 - 0065536 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\proc-0.swp
    2015-07-24 11:40 - 2015-07-24 11:40 - 0065536 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\proc-1.swp
    2015-07-24 11:40 - 2015-07-24 11:40 - 0065536 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\proc-2.swp
    2015-07-24 11:40 - 2015-07-24 11:40 - 0032768 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\reg-0.swp
    2015-07-24 11:40 - 2015-07-24 11:40 - 0032768 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\reg-1.swp
    2015-07-24 11:40 - 2015-07-24 11:40 - 0032768 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\reg-2.swp
    2015-07-24 11:40 - 2015-07-24 11:40 - 0000000 ____D () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\56a6666d44f340417df9acf345a7d29d
    2015-07-24 11:40 - 2015-07-24 11:40 - 0000864 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\56a6666d44f340417df9acf345a7d29d\file_130821936363490000.bak
    2015-07-24 11:40 - 2015-07-24 11:40 - 0000049 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\56a6666d44f340417df9acf345a7d29d\meta
    2015-07-24 11:40 - 2015-07-24 15:57 - 0000000 ____D () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\bsslogs
    2015-07-24 15:57 - 2015-07-24 15:57 - 0003071 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\bsslogs\42
    2015-07-24 11:40 - 2016-08-16 08:49 - 0005084 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\bsslogs\meta_v2
    2015-07-24 11:40 - 2015-07-24 11:40 - 0000000 ____D () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\f7c77fd5b77dbc0ece949a93266a4f9a
    2015-07-24 11:40 - 2016-08-16 08:49 - 0045160 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\f7c77fd5b77dbc0ece949a93266a4f9a\meta
    2015-03-26 14:04 - 2015-07-24 15:57 - 0000000 ____D () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\file_cache
    2015-07-24 15:57 - 2015-07-24 15:57 - 0614400 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\file_cache\b7409304c639f4e27ab0daa3c4b072c6.bin
    2015-07-24 11:40 - 2016-08-16 08:49 - 0000068 _____ () C:\ProgramData\Kaspersky Lab\KES10\SysWHist\file_cache\meta
    В прошлом году еще отключили. А был бы включен ваши драгоценные файлы остались целы.

    Меняйте все пароли на компьютере. Пишите запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  16. Это понравилось:


  17. #15
    Junior Member Репутация
    Регистрация
    18.08.2016
    Сообщений
    10
    Вес репутации
    28
    ну и на этом спасибо. То есть с вашими силами мы уже восстановить файлы не сможем? ну и соответственно стоит проверить во всей организации включен ли на каспере мониторинг системы?

  18. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    То есть с вашими силами мы уже восстановить файлы не сможем?
    А я думаю, что и в техподдержке Касперского не смогут, но попытка не пытка.

    ну и соответственно стоит проверить во всей организации включен ли на каспере мониторинг системы?
    Конечно, это ключевой модуль в защите против шифровальщиков. Кстати, KES 10 у вас кажется немного устаревшей версии стоит.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #17
    Junior Member Репутация
    Регистрация
    18.08.2016
    Сообщений
    10
    Вес репутации
    28
    а вообще хоть что-нибудь реально дешифровать пусть даже из старых, уже известных шифраторов?
    Последний раз редактировалось Arnion; 22.08.2016 в 11:55.

  20. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Реально, но далеко не все. Первые две модификации (xtbl, breaking bad) этого шифровальщика в ряде случаев возможно расшифровать.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\programdata\windows\csrss.exe - Trojan.Win32.Fsysna.dtsa


  • Уважаемый(ая) Arnion, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. *.DA_VINCI_CODE
      От ИринаБухтиярова в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.07.2016, 14:10
    2. da_vinci_code.
      От ильдар86 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.06.2016, 17:00
    3. шифровка da_vinci_code
      От Casper118365 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.05.2016, 13:51
    4. Шифровальщик da_vinci_code
      От Alpine56 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.05.2016, 13:44
    5. Шифровальщик .da_vinci_code
      От Devochka_V_Pogonax в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.05.2016, 23:28

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00846 seconds with 20 queries