Показано с 1 по 5 из 5.

Vault, ничего не зашифровал, но присутствует в системе (заявка № 196190)

  1. #1
    Junior Member Репутация
    Регистрация
    09.10.2007
    Сообщений
    27
    Вес репутации
    38

    Vault, ничего не зашифровал, но присутствует в системе

    Доброго вечера.

    В пятницу пользователь обнаружил в спаме письмо от "налоговой", в котором содержалась ссылка на js файл, замаскированный под pdf. Пользователь скачал его и запустил. удалено на запакованный файл (пароль: virus).

    После этого на экране возник вот такой баннер:
    photo_2016-01-24_18-46-37.jpg

    Правда ни один файл зашифрован не был, пользователь выключил компьютер после 15 минут от появления данного баннера.
    Мною на всякий случай был снят бэкап через Acronis True Image.
    Далее производилось сканирование через свежий Dr.Web Cureit c liveusb c Windows 7 PE, а так же с Kaspersky Rescue CD, которые не дали никаких результатов (попросту ничего не нашлось).
    После ручного просмотра выяснилось наличие в папке пользователя файлов CONFIRMATION.KEY, VAULT.KEY и VAULT.hta (который я и принял за баннер). Файлы можно скачать тут. Удаление этих файлов ничего не дало, после перезагрузки баннер опять появился через несколько минут (файлы при этом не появились).
    После чего я сделал прогон ESET NOD32 LiveCD, который тоже ничего не дал. Однако после этого система по какой-то причине перестала грузиться с профилем пользователя, и грузится с временным профилем.

    Очень нужна помощь в удалении этой фигни. Логи прилагаю.

    Заранее спасибо!
    Вложения Вложения
    Последний раз редактировалось regist; 25.01.2016 в 11:43. Причина: ссылки на вирусы постить запрещено. Для этого есть специальная ссылка наверху темы

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,464
    Вес репутации
    343
    Уважаемый(ая) Vilgelm, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,832
    Вес репутации
    842
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    09.10.2007
    Сообщений
    27
    Вес репутации
    38
    Доброго вечера.
    Прилагаю запрошенные логи.
    Вложения Вложения
    • Тип файла: zip logs.zip (30.6 Кб, 1 просмотров)

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,832
    Вес репутации
    842
    Деинсталлируйте программу Search App by Ask.

    В настройках Java отключите установку сторонних спонсорских приложений.
    Java 8 обязательно обновите до Java 8 Update 71 и настройте автоматическое обновление.
    Если не используете приложения, игры, клиент-банки, требующие Java - лучше эту программу удалить вовсе, в ней постоянно находят критические уязвимости.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    (APN) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2016-01-05]
    CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2016-01-05]
    CHR HKLM-x32\...\Chrome\Extension: [aapcjgafljhokjfbeebpiddfjpjjcdem] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
    R2 APNMCP; C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe [198216 2016-01-05] (APN LLC.)
    S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    WBR,
    Vadim

Похожие темы

  1. Vault зашифровал данные
    От MatriXNeO в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 13.01.2016, 14:56
  2. VAULT зашифровал документы
    От Priklad в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 05.11.2015, 05:51
  3. Vault зашифровал 1С-Бухгалтерию!
    От aida1 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 26.03.2015, 20:41

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00292 seconds with 17 queries