Здравствуйте,
суть проблемы: прислали на e-mail архив с вирусом Vault, который после запуска закодировал файлы (psd, doc, jpg и т.д.) добавляя к названию ".vault") и выскакивало окно с предложением пройти по ссылке на сайт и оплатить для разблокировки. Хотелось бы узнать, можно ли восстановить закодированные файлы. Сам процесс Vault вроде бы удалось ликвидировать, но лог на всякий случай в AVZ выполнил.
имя файла: virusinfo_auto_ALEXANDER
MD5 карантина: EFDCB8DC9AF05CEBE2D55EB0D386A9DB
Размер файла: 48603769 байт
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Alex0078, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
QuarantineFile('C:\WINDOWS\system32\MobileOptionPack\MobileOptionPack.lnk','');
QuarantineFile('C:\WINDOWS\system32\MobileOptionPack\MobileOptionPack.scr','');
DeleteFile('C:\WINDOWS\system32\MobileOptionPack\MobileOptionPack.scr','32');
DeleteFile('C:\WINDOWS\system32\MobileOptionPack\MobileOptionPack.lnk','32');
DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
DeleteFile('C:\Documents and Settings\Administrator\Application Data\eTranslator\eTranslator.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','MobileOptionPack');
ExecuteSysClean;
end.
Перезагрузите сервер. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: