Вирус valut

**nizhdom** · 20.10.2016, 10:50

Добрый день!
Компьютер заражен файлом с электронной почты, на рабочем столе баннер, все файлы зашифрованы.

Безымянный.jpg

Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.10.2016, 10:51

Уважаемый(ая) nizhdom, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 20.10.2016, 15:52

Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Базы перед диагностикой видимо не надо обновлять.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**nizhdom** · 21.10.2016, 14:56

Farbar Recovery Scan Tool

**nizhdom** · 27.10.2016, 13:58

Новый скрипт с обновленными базами.

**mike 1** · 27.10.2016, 14:09

Жду остальное.

**nizhdom** · 28.10.2016, 09:05

Повторно Farbar Recovery Scan Tool

**mike 1** · 29.10.2016, 22:41

Kaspersky Internet Security был установлен уже после заражения шифровальщиком?

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta [2016-10-18] ()
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\админ\AppData\Roaming\Mozilla\Firefox\Profiles\pvdpigyo.default\Extensions\[email protected] [2016-10-18]
FF Extension: (Neiron Search Tools) - C:\Users\админ\AppData\Roaming\Mozilla\Firefox\Profiles\pvdpigyo.default\Extensions\[email protected] [2016-10-19]
FF Extension: (Поиск@Mail.Ru) - C:\Users\админ\AppData\Roaming\Mozilla\Firefox\Profiles\pvdpigyo.default\Extensions\[email protected] [2016-10-18]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\админ\AppData\Roaming\Mozilla\Firefox\Profiles\pvdpigyo.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-10-18]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2016-10-18]
CHR Extension: (Chrome.Update) - C:\Users\админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmgekpkafbfbbbbahgmddmcaenekndia [2016-05-05]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-10-18]
CHR Extension: (Mail.Ru) - C:\Users\админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-10-18]
CHR Extension: (EasyTurism) - C:\Users\админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\phcbhdbffkjbbbhkcieannkegdkejgfg [2016-10-21]
2016-10-18 10:58 - 2016-10-18 11:01 - 00003608 _____ C:\Windows\System32\Tasks\Phoenix Browser Updater
2016-10-18 10:58 - 2016-10-18 11:01 - 00000191 _____ C:\Users\админ\Desktop\Искать в Интернете.url
2016-10-18 10:58 - 2016-10-18 10:58 - 00000000 ____D C:\Users\админ\AppData\Roaming\Neiron
2016-10-18 10:58 - 2016-10-18 10:58 - 00000000 ____D C:\Users\админ\AppData\Local\Phoenix Browser Updater
2016-10-18 10:58 - 2016-10-18 10:58 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Web Search Tools
2016-10-18 10:58 - 2016-10-18 10:58 - 00000000 ____D C:\Program Files (x86)\Twilight Tech
2016-10-18 09:03 - 2016-10-18 09:03 - 00611016 _____ C:\Users\админ\AppData\Roaming\CONFIRMATION.KEY
2016-10-18 09:03 - 2016-10-18 09:03 - 00005016 _____ C:\Users\админ\AppData\Roaming\VAULT.hta
2016-10-18 09:03 - 2016-10-18 09:03 - 00001607 _____ C:\Users\админ\AppData\Roaming\VAULT.KEY
Folder: C:\ProgramData\Kaspersky Lab\AVP15.0.2\SysWHist

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

**nizhdom** · 08.11.2016, 15:00

лог-файл FRST

Вирус valut (заявка № 205007)

Опции темы