Файлы изменили расширение на VAULT. Помогите пожалуйста восстановить. [not-a-virus:Server-FTP.Win32.SFH.afv ]

Получил письмо "счета на оплату". После открытия вложенного файла, офисные документы перестали открываться, добавилось расширение VAULT. По инструкции создал все логи.

Уважаемый(ая) [B]AL_[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Карантин не нужно прикреплять к сообщению

Лучше перечитайте правила и пришлите логи

Через "Прислать запрошенный карантин" логи отправлял тоже

Логи прикрепляют к сообщению, а не шлют в карантин

Прошу прощения, не разобрался сразу. Прикрепляю логи.

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\tftpd32\tftpd32.exe','');
QuarantineFile('C:\WINDOWS\Temp\svchost.exe','');
QuarantineFile('C:\Documents and Settings\UserXP\Application Data\SwvUpdater\Updater.exe','');
DelBHO('{415419c3-dad0-4df1-ac37-22c72ad81878}');
QuarantineFile('C:\Program Files\LemurLeap\LemurLeapbho.dll','');
DelBHO('{8271B5D6-76D3-4ABF-AEB3-1721161C76BC}');
QuarantineFile('C:\Program Files\Better-Surf\ie\BetterSrf.dll','');
DeleteFile('C:\Program Files\Better-Surf\ie\BetterSrf.dll','32');
DeleteFile('C:\Program Files\LemurLeap\LemurLeapbho.dll','32');
DeleteFile('C:\Documents and Settings\UserXP\Application Data\SwvUpdater\Updater.exe','32');
DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\WINDOWS\Temp\svchost.exe','32');
DeleteFile('C:\Program Files\tftpd32\tftpd32.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] над первым сообщением темы.

[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Добрый день! Отправляю карантин. Во вложении логи MBAM.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Новые логи

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Quarantine[/b]" ("[B]Карантин[/B]" - [B][COLOR="Blue"]смотрите, что удаляете[/COLOR][/B]).

[CODE]
Ключи реестра: 24
PUP.Optional.LemurLeap.A, HKLM\SOFTWARE\CLASSES\CLSID\{415419c3-dad0-4df1-ac37-22c72ad81878}, , [caaf2d16b0dad1653f57998910f327d9],
PUP.Optional.LemurLeap.A, HKLM\SOFTWARE\CLASSES\TYPELIB\{68731c4d-20a2-4d44-9d11-7944c839bef9}, , [caaf2d16b0dad1653f57998910f327d9],
PUP.Optional.LemurLeap.A, HKLM\SOFTWARE\CLASSES\INTERFACE\{0E45512E-5B95-4C8C-9393-64ED0470E8D2}, , [caaf2d16b0dad1653f57998910f327d9],
PUP.Optional.LemurLeap.A, HKU\S-1-5-21-527237240-1123561945-682003330-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{415419C3-DAD0-4DF1-AC37-22C72AD81878}, , [caaf2d16b0dad1653f57998910f327d9],
PUP.Optional.LemurLeap.A, HKU\S-1-5-21-527237240-1123561945-682003330-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{415419C3-DAD0-4DF1-AC37-22C72AD81878}, , [caaf2d16b0dad1653f57998910f327d9],
PUP.Optional.BrowseFox.A, HKLM\SOFTWARE\CLASSES\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}, , [5c1da89bc5c541f5156299bc40c306fa],
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9}, , [a6d394aff19986b0799788a0946f59a7],
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\TYPELIB\{A0EE0278-2986-4E5A-884E-A3BF0357E476}, , [a6d394aff19986b0799788a0946f59a7],
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\INTERFACE\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}, , [a6d394aff19986b0799788a0946f59a7],
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\Updater.AmiUpd.1, , [a6d394aff19986b0799788a0946f59a7],
PUP.Optional.SoftwareUpdater, HKLM\SOFTWARE\CLASSES\Updater.AmiUpd, , [a6d394aff19986b0799788a0946f59a7],
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\CLASSES\CLSID\{6E3C6B04-08FE-43BC-8E50-F90285024DEA}, , [7702360df39786b03c19ac70e81bac54],
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\CLASSES\TYPELIB\{0113A098-06EA-4776-A011-D75590778F1E}, , [7702360df39786b03c19ac70e81bac54],
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\CLASSES\INTERFACE\{462862BE-9A5C-49A5-9CBD-A649EAC63645}, , [7702360df39786b03c19ac70e81bac54],
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\CLASSES\CLSID\{8271B5D6-76D3-4ABF-AEB3-1721161C76BC}, , [84f5222128625dd9899b190719eaaa56],
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\CLASSES\TYPELIB\{BEAA0C04-ED15-4C17-800B-28716025A4E4}, , [84f5222128625dd9899b190719eaaa56],
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\CLASSES\INTERFACE\{65B07D06-95A1-409D-93FF-8CB14E1EC86A}, , [84f5222128625dd9899b190719eaaa56],
PUP.Optional.BetterSurf.A, HKU\S-1-5-21-527237240-1123561945-682003330-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{8271B5D6-76D3-4ABF-AEB3-1721161C76BC}, , [84f5222128625dd9899b190719eaaa56],
PUP.Optional.SearchProtect.A, HKU\S-1-5-21-527237240-1123561945-682003330-1003\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}, , [3148be85abdf90a666b523f956ad3ec2],
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\dedmngkbaffkenlfdcbganndoghblmap, , [fd7c55eee3a795a1b0de6678659e34cc],
PUP.Optional.LemurLeap.A, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\jlnfdbbladgcmhhamgkioifhbobjaoof, , [d1a847fca0ea043298853e944bb82dd3],
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\poheodfamflhhhdcmjfeggbgigeefaco, , [adccdd66e2a87bbb4a715396c04308f8],
PUP.Software.Updater, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96}, , [4b2e82c1a2e81125bbed27d544bf3fc1],
PUP.Optional.LemurLeap.A, HKU\S-1-5-21-527237240-1123561945-682003330-1003\SOFTWARE\LemurLeap, , [0b6e8bb855358caa13fc25e84eb759a7],

Параметры реестра: 7
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\MOZILLA\FIREFOX\EXTENSIONS|[email protected], C:\Program Files\BetterSurf\ff, , [c5b4d76c5832d264622ed9fa6c979967]
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\MOZILLA\FIREFOX\EXTENSIONS|[email protected], C:\Program Files\Better-Surf\ff, , [6316bb8856340630ff02cd5fff06a15f]
PUM.LowRiskFileTypes, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [4f2a9aa9157594a2dff160604fb4926e]
PUM.LowRiskFileTypes, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [1168b58eccbef145339d3789d92a33cd]
PUM.LowRiskFileTypes, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [47325fe4751502345d73952ba162817f]
PUM.LowRiskFileTypes, HKU\S-1-5-21-527237240-1123561945-682003330-1006\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [6217c77c12780f27527e932de0231fe1]
PUM.LowRiskFileTypes, HKU\S-1-5-21-527237240-1123561945-682003330-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [b4c52c17028847ef824ef7c9e22152ae]

Папки: 1
PUP.Optional.Webexp, C:\Program Files\WebexpEnhancedV1, , [2851fa490684ad8992c176f56e9529d7],

Файлы: 14
PUP.Optional.Lemurleap.A, C:\Documents and Settings\UserXP\Application Data\Mozilla\Firefox\Profiles\hirp3f9u.default\extensions\[email protected], , [1960bc87e7a3221414f731ba669d02fe],
[/CODE]

[COLOR="Red"][B]Обратите внимание[/B][/COLOR]! Для остальных объектов выберете действие "[B]Ignore[/B]" ("[B]Игнорировать[/B]").

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Добрый день!
Отправляю новый лог MBAM

Удалите в МВАМ только
[CODE]PUP.Optional.LemurLeap.A, HKU\S-1-5-21-527237240-1123561945-682003330-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{415419C3-DAD0-4DF1-AC37-22C72AD81878}, , [015ac8a1226893a38d0c2f0bcb38738d],
PUP.Optional.LemurLeap.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{415419C3-DAD0-4DF1-AC37-22C72AD81878}, , [015ac8a1226893a38d0c2f0bcb38738d],
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{8271B5D6-76D3-4ABF-AEB3-1721161C76BC}, , [33282445f496989eb6712e0a3cc730d0],
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\dedmngkbaffkenlfdcbganndoghblmap, , [ef6caebb8901191d767df100699a7888],
PUP.Optional.LemurLeap.A, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\jlnfdbbladgcmhhamgkioifhbobjaoof, , [2b30d198f4964fe73a6616d052b1f808],
PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\poheodfamflhhhdcmjfeggbgigeefaco, , [7be0f27719714aec77f068948f74c53b],
PUP.Software.Updater, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96}, , [ec6f7cedaae0cd69f02cec2353b1af51],
PUP.Optional.LemurLeap.A, HKU\S-1-5-21-527237240-1123561945-682003330-1003\SOFTWARE\LemurLeap, , [bc9f3b2e8dfd2e08a4d559c6c73ecf31],

PUP.Optional.Lemurleap.A, C:\Documents and Settings\UserXP\Application Data\Mozilla\Firefox\Profiles\hirp3f9u.default\extensions\[email protected], , [e576beab8406ad89595b46b709fa1de3], [/CODE]

Удалил, что делать дальше?

С расшифровкой не поможем. Как вариант, [url]http://virusinfo.info/showthread.php?t=156188[/url]

Существуют ли варианты восстановления для XP?

Если речь идет про теневые копии, то нет. Из бекапов восстанавливайте информацию.

Восстановление системы не помогло. Есть еще какие-нибудь способы?

Никаких. Помогут только злодеи

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\tftpd32\tftpd32.exe - [B]not-a-virus:Server-FTP.Win32.SFH.afv[/B] ( DrWEB: Program.Ftpd.7 )[/LIST][/LIST]