вирус шифровальщик "DA_VINCI_COD"

[Елена Яшенькина]

Здравствуйте! Если возможно, помогите, пожалуйста, восстановить работу компьютера: 15.07.16 на экране появилась красная надпись "Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков".... все рабочие документы испорчены, ничего не открывается((( Читать эти файлы не стала, запустила быструю проверку, у меня как раз DrWeb стоял уже... 2 нашел, удалил. Потом нашла Ваш сайт, сделала всё, как велено))
Результат: Сканирование указанными Вами программами (по инструкции) выдало: "Угроз не обнаружено".... В Карантине - нет ни одного файла... архивировать и отправлять нечего... Из Стандартных скриптов проявил активность только №8 (я от безысходности их все попробовала запустить), ответ один - "не отмечено ни одной операции восстановления"... Кстати, когда я обнаружила вирус, я после очистки пыталась сделать Восстановление системы, - не восстановилось по той же причине- нет точек восстановления.. Архивы тоже не загружаются, при загрузке Вложений - Диагностическое сообщение выдаёт несколько тысяч ошибок и пишет:"невозможно прочитать содержимое"... Что нужно и можно)) сделать в такой ситуации? С чего начать? Благодарю!

[Info_bot]

Уважаемый(ая) Елена Яшенькина, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Логи AVZ где?

[Елена Яшенькина]

А подскажИте, пжл, как в теме прикрепить логи? Не могу найти....))))

- - - - -Добавлено - - - - -

Получилось прикрепить?правильно?

[mike 1]

1. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
2. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
3. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
4. Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Елена Яшенькина]

готово

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Елена Яшенькина]

сделали

[mike 1]

Лог после очистки в AdwCleaner получается другим.

[Елена Яшенькина]

В каком смысле - другим? Что не так сделала?

[mike 1]

См. инструкцию по AdwCleaner. Ссылку на инструкцию я давал.

[Елена Яшенькина]

теперь получилось так

[mike 1]

Отчет все равно не тот прислали. Внимательнее нужно быть.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Елена Яшенькина]

отсылаю, что получилось

- - - - -Добавлено - - - - -

во время сканирования появилось такое окно, нажала "продолжить", через некоторое время появились указанные файлы.

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
   Код:

   CreateRestorePoint:
   CloseProcesses:
   HKLM\...\Run: [] => [X]
   BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
   Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
   Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
   Toolbar: HKU\S-1-5-21-2499439286-2191709754-1103917021-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
   CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
   CHR HKLM\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx
   CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
   CHR HKLM\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
   CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
   CHR HKLM\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
   CHR HKLM\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
   CHR HKLM\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
   CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
   2016-07-15 22:26 - 2016-07-15 22:26 - 03133494 _____ C:\Users\Администратор\AppData\Roaming\83B76A8783B76A87.bmp
   2016-07-15 14:32 - 2016-07-17 00:05 - 00000000 __SHD C:\Users\Все пользователи\Windows
   2016-07-15 14:32 - 2016-07-17 00:05 - 00000000 __SHD C:\ProgramData\Windows
   2016-03-27 14:13 - 2014-10-16 02:55 - 0145792 _____ () C:\Users\Администратор\AppData\Local\downloader.exe
   C:\Users\Настя\AppData\Local\Temp\9JiV7Ib09Pe0.exe
   C:\Users\Настя\AppData\Local\Temp\als2TneEnmKy.exe
   C:\Users\Настя\AppData\Local\Temp\b5IL2ZxocFtU.exe
   C:\Users\Настя\AppData\Local\Temp\bi86gtvD22Es.exe
   C:\Users\Настя\AppData\Local\Temp\Caz8aXRouhIL.exe
   C:\Users\Настя\AppData\Local\Temp\coi1.exe
   C:\Users\Настя\AppData\Local\Temp\Drjnay1XlJOo.exe
   C:\Users\Настя\AppData\Local\Temp\EUvQ6owQdbMW.exe
   C:\Users\Настя\AppData\Local\Temp\FbQOLtd39t9W.exe
   C:\Users\Настя\AppData\Local\Temp\t4Gd0xBzx7gf.exe
   C:\Users\Настя\AppData\Local\Temp\vg1sSYMXG7jv.exe
   C:\Users\Настя\AppData\Local\Temp\zsyYIt9mf2yM.exe
   Task: {012EF11B-1F4A-4952-AFA4-DD9470D411E5} - \{C0196FE2-F194-4074-8EDA-73C378EC9D1F} -> No File <==== ATTENTION
   Task: {1370E012-751B-417F-8F05-1974DBE2BCE9} - \{5C93D229-003D-4731-AB8D-DEA46A55A4CE} -> No File <==== ATTENTION
   Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
   Task: {349F449E-20FD-45E3-84D2-96646AD5CF3C} - \{13FBDDDE-E4A6-436D-93AC-C18388E2623A} -> No File <==== ATTENTION
   Task: {58342FEF-0B97-4D8D-916F-61B2FEC4B43E} - \{C8F299F5-7E6C-4211-BAE9-C1B95FF53F13} -> No File <==== ATTENTION
   Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
   Task: {6247648A-07F7-4563-B6AB-22291BD7A652} - \Adobe Acrobat Update Task -> No File <==== ATTENTION
   Task: {634D277D-2FC1-441C-BC4F-901C4737F3B8} - \{E38F27D9-A508-4ECB-AE87-46F39FF821B5} -> No File <==== ATTENTION
   Task: {63E4ABE9-EA53-4A11-9158-8A6E9A1181BA} - \{FF774AE4-32B1-438C-B377-19B57AB83795} -> No File <==== ATTENTION
   Task: {6DD40AC3-31EB-4A21-98B3-46414D04A962} - \{C4E5C114-74FB-40FD-9777-645B6A756EC0} -> No File <==== ATTENTION
   Task: {756FF357-6964-4FC6-A190-C8A5BA65C43E} - \MailRuUpdateTask -> No File <==== ATTENTION
   Task: {774A8F14-6C1E-4A1B-8B3C-D57AC4C4B80F} - \SidebarExecute -> No File <==== ATTENTION
   Task: {784E7361-D3A6-4217-A0F1-16F404FE7DF2} - \{0BDBAE16-2952-4FCF-B75F-A97B4A72C42B} -> No File <==== ATTENTION
   Task: {B06E36EA-A9B7-4A04-A335-03863C4BC23D} - \{788DAC52-508D-4A8E-9F5A-1F20816E2ECD} -> No File <==== ATTENTION
   Task: {B67B104B-00FF-4482-9607-DB1C0B565E43} - \{9CC6FCFE-6CA9-40A3-8B22-7BD8D2E3C1AE} -> No File <==== ATTENTION
   Task: {E63D0D51-2C89-477D-876E-4DA7354C42D5} - \{C7C065E6-FD81-4308-8786-2E109BF4D2CA} -> No File <==== ATTENTION
   Task: {FB6656E6-72B8-4B06-8739-FD2367D2206F} - \{707489CD-0D1E-4757-A9AC-DFA838F16E84} -> No File <==== ATTENTION

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

[Елена Яшенькина]

Прикрепляю

- - - - -Добавлено - - - - -

mike 1, считаю необходимым сообщить, что буквально перед тем, как был получен Ваш ответ сегодня, мне переустановили Windows7 домашний базовый, увеличили объём с 32 до 64 bit, разделили диск С (ранее он был объединен с D). Все рекомендованные Вами действия производили с учетом этого уже.

[mike 1]

С расшифровкой помочь не сможем.

[Елена Яшенькина]

Очень жаль(((( Благодарю. Переустановка как-то повлияла?

[mike 1]

Нет. Смените все пароли в интернете.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 52
• В ходе лечения вредоносные программы в карантинах не обнаружены