Доброго времени суток, получили письмо с проверкой налог. отчетности, теперь зашифрованы файлы word-a и exel-я. Заранее спасибо. Прикрепляю зашифрованные файлы. Фалы с расширением .vault
Доброго времени суток, получили письмо с проверкой налог. отчетности, теперь зашифрованы файлы word-a и exel-я. Заранее спасибо. Прикрепляю зашифрованные файлы. Фалы с расширением .vault
Последний раз редактировалось Teogen; 26.06.2015 в 10:34. Причина: дополнение
Уважаемый(ая) Teogen, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin QuarantineFile('C:\Program Files\fcs.exe',''); QuarantineFile('C:\Temp\sys',''); QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\viqigwazijul.exe',''); QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\manajanorma.exe',''); QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Ukam\cyex.exe',''); QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Nevosoft.Games\drm.exe',''); QuarantineFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Doeq\huarvur.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\msnznt.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\msied.exe',''); DeleteService('BDSGRTP'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.602\BaiduProtect.exe','32'); DeleteFile('C:\DOCUME~1\ALLUSE~1\msied.exe','32'); DeleteFile('C:\DOCUME~1\ALLUSE~1\msnznt.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','344121009'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','615575176'); DeleteFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Doeq\huarvur.exe','32'); DeleteFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Nevosoft.Games\drm.exe','32'); DeleteFile('C:\Documents and Settings\Башмашникова.SFS\Application Data\Ukam\cyex.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Cyex','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\drm.exe','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{44B5340F-D7F0-CA33-8758-AAD337DDEE16}','command'); DeleteFile('C:\Documents and Settings\Башмашникова.SFS\manajanorma.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\manajanorma','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\viqigwazijul','command'); DeleteFile('C:\Documents and Settings\Башмашникова.SFS\viqigwazijul.exe','32'); DeleteFile('C:\Temp\sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\slihost.exe','command'); DeleteFile('C:\WINDOWS\Tasks\DealPlyUpdate.job','32'); DeleteFile('C:\Program Files\fcs.exe','32'); ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Запрошенные файлы
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Сделано
Последний раз редактировалось Teogen; 26.06.2015 в 16:14.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
subj
Система дырявая как решето и установленный антивирус с такой дырявой системой вас не спасет.Platform: Microsoft Windows XP Professional Service Pack 2 (X86) OS Language: Русский
Internet Explorer Version 6 (Default browser: Chrome)
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION AutoConfigURL: [HKLM] => http://ertaco.com/cols/accepted2.ruo AutoConfigURL: [S-1-5-21-1126026615-2368042048-2318365495-500] => http://ertaco.com/cols/accepted2.ruo BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKLM - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\.DEFAULT -> No Name - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No File Toolbar: HKU\.DEFAULT -> Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll No File Toolbar: HKU\.DEFAULT -> No Name - {899CAC9D-533D-45C2-8A07-AFB42425B544} - No File CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - http://clients2.google.com/service/update2/crx S1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X] 2015-06-24 10:07 - 2013-08-19 12:44 - 00000000 ____D C:\Documents and Settings\Башмашникова.SFS\Application Data\Iqhid 2015-06-24 10:06 - 2014-12-16 08:54 - 00000000 ____D C:\Documents and Settings\Башмашникова.SFS\Application Data\Browsers 2015-06-24 10:06 - 2013-08-14 07:48 - 00000000 ____D C:\Documents and Settings\Башмашникова.SFS\Application Data\Ufmo 2015-06-24 10:06 - 2013-08-07 16:19 - 00000000 ____D C:\Documents and Settings\Башмашникова.SFS\Application Data\Pini Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\1E94~1.SFS\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\1E94~1.SFS\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION Task: C:\WINDOWS\Tasks\At3.job => C:\DOCUME~1\NETWOR~1\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:183A9046 AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:B4258C5D AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:ED2D63E4 AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:FB4262DE [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Cyex] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\drm.exe] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\manajanorma] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\slihost.exe] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\viqigwazijul] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{44B5340F-D7F0-CA33-8758-AAD337DDEE16}] DomainProfile\AuthorizedApplications: [C:\Documents and Settings\Башмашникова.SFS\Local Settings\Temp\~nsu.tmp\Au_.exe] => Enabled:百度杀毒卸载程序 DomainProfile\AuthorizedApplications: [C:\Documents and Settings\Башмашникова.SFS\Local Settings\Temp\pcitb_70856.exe] => Enabled:百度卫士在线安装程序- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Да, система ужас, я ток пару недель как пришел на эту работу и пока с серверами пытаюсь справиться.
Это поможет только для данной машины? Есть еще с зашифрованными файлами, успел зараза в сеть попасть. Как расшифровать на других машинах и как купить у Вас поддержку, через paypal чет не идет?
Последний раз редактировалось Teogen; 27.06.2015 в 14:02.
А неудивительно. Эксплойт такая штука, которая как раз хорошо работает на таких вот дырявых системах. С расшифровкой не поможем. Смените все пароли. Логи в порядке.Это поможет только для данной машины? Есть еще с зашифрованными файлами, успел зараза в сеть попасть.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Спасибо!!! Можете дать совет, как их расшифровать? Может подождать пока расшифровщик сделают?
В данном случае я думаю смогут помочь только злодеи.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Почему то я так и думал
- - - - -Добавлено - - - - -
ТО есть, найти ключ расшифровки и расшифровать своими силами, затея глупая?
- - - - -Добавлено - - - - -
Еще вопрос, а как выйти теперь на злодеев? ))
А там стойкая криптография используется. Кстати, еще напишу кое-что, если Вы не сможете найти файл VAULT.KEY, то файлы не смогут расшифровать и злодеи.ТО есть, найти ключ расшифровки и расшифровать своими силами, затея глупая?
Связь с злодеями через этот httр://restoredz4xpmuqr.onion сайт. Сайт нужно открывать через Tor.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Огромнейшее спасибо за помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\fcs.exe - Trojan.MSIL.Agent.liy ( BitDefender: Trojan.Generic.KDV.396572 )
Уважаемый(ая) Teogen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.