вирус шифровальшик .vault

[jimearthworm]

Помогите расшифровать.

 

Прогнал autologgerom, логи во вложении.

Прогнал MBAM, логи во вложении.

Архив.zip

CollectionLog-2015.03.29-21.39.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Lena Kraeva\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe','');
QuarantineFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','');
QuarantineFile('C:\Users\Lena Kraeva\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe','');
QuarantineFile('C:\Users\Lena Kraeva\AppData\Roaming\VAULT.hta','');
DeleteFile('C:\Users\Lena Kraeva\AppData\Roaming\VAULT.hta','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify');
DeleteFile('C:\Users\Lena Kraeva\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\DealPly','64');
DeleteFile('C:\WINDOWS\system32\Tasks\DealPlyUpdate','64');
DeleteFile('C:\WINDOWS\system32\Tasks\DSite','64');
DeleteFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','32');
DeleteFile('C:\Users\Lena Kraeva\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\LaunchSignup','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[jimearthworm]

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2635053174]

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 

VAULT.hta

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

CollectionLog-2015.03.30-04.04.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[jimearthworm]

логи Farbar Recovery Scan Tool

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
Startup: C:\Users\Lena Kraeva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk
ShortcutTarget: MyPC Backup.lnk -> C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe (MyPCBackup.com)
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
Toolbar: HKU\S-1-5-21-3172290901-805132709-3585197207-1002 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3172290901-805132709-3585197207-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: SaveSense - C:\Users\Lena Kraeva\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{2fab2e94-d6f9-42de-8839-3510cef6424b} [2014-09-24]
CHR Extension: (DealPly Brazil) - C:\Users\Lena Kraeva\AppData\Local\Google\Chrome\User Data\Default\Extensions\fmfnfnpmhcllokmkepffndflpnadjmma [2014-06-19]
Task: {029F11CC-A424-402E-B285-74686C75DCC7} - \LaunchSignup No Task File <==== ATTENTION
Task: {4C1DB301-CDA0-4166-8BD4-D2DD5F91DC0A} - \DSite No Task File <==== ATTENTION
Task: {C7D42649-3DC8-4CDD-A11D-55117E181A95} - \DealPly No Task File <==== ATTENTION
Task: {EE9DDE55-CF05-400B-BDCB-8584387CECEE} - \DealPlyUpdate No Task File <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[jimearthworm]

fixlog

Fixlog.txt

[Roman_Five]

удалите всё найденное в MBAM

(если кейлоггер ставили сами - можете не удалять C:\ProgramData\MPK\)

новый лог приложите