VAULT шифровальщик и может что то еще

[lisi4ka]

 Все как у всех. VAULT.

Помогите очистить компьютер. И возможно у меня кучка уже проблем на нем

Жаль, что еще нет возможности расшифровать файлы, а может у вас уже и есть решение. 

 

 

С помощью Virus Removal Tool просканировала, нашел 2 объекта. Они в карантине.

 

Trojan-Ransom.BAT.Scatter.ar

Файл: C:\Users\User\AppData\Roaming\90a667fbc4bfa23c.hta

Троянская программа

и

not-a-virus:AdWare.Win32.DealPly.cha

Файл: C:\Program Files\DealPly\DealPlyIE.dll

Рекламное программное обеспечение

 

Комп перезагрузился. Еще разок проверила на всякий - угроз не обнаружено.

 

лог прикреплю сейчас

[mike 1]

 

 

лог прикреплю сейчас

Ждем

[lisi4ka]

Лог

CollectionLog-2015.06.02-16.52.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\User\AppData\Local\SuperFast\tray\sftrayicon.exe','');
 TerminateProcessByName('c:\users\user\appdata\roaming\update manager\um.exe');
 QuarantineFile('c:\users\user\appdata\roaming\update manager\um.exe','');
 TerminateProcessByName('c:\users\user\appdata\roaming\settings manager\settingsmanager.exe');
 QuarantineFile('c:\users\user\appdata\roaming\settings manager\settingsmanager.exe','');
 DeleteFile('c:\users\user\appdata\roaming\settings manager\settingsmanager.exe','32');
 DeleteFile('c:\users\user\appdata\roaming\update manager\um.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','c079d652');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12c6fc9b');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UM');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Settings Manager');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[lisi4ka]

KLAN-2827054216

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  

settingsmanager.exe,
um.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.  

settingsmanager.exe,
um.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
From:
Sent: 6/3/2015 6:17:34 AM
To: newvirus@kaspersky.com
Subject: Запрос на исследование вредоносного файла

Выполняется запрос хэлпера

 

__________________________________________________________________________

 

Ну вот вроде все сделала.

CollectionLog-2015.06.03-09.43.zip

AdwCleanerR0.txt

Изменено 3 июня, 2015 пользователем mike 1
Почта скрыта

[mike 1]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".

• По окончанию сканирования снимите галочки со следующих строк:

***** [ Файлы / Папки ] *****
Папка Найдено : C:\Program Files\Mail.Ru
Папка Найдено : C:\Users\User\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\User\AppData\LocalLow\Mail.Ru
Файл Найдено : C:\Users\User\AppData\Local\Temp\CONFIRMATION.KEY
Файл Найдено : C:\Users\User\AppData\Local\Temp\VAULT.KEY
Файл Найдено : C:\Users\User\AppData\Roaming\CONFIRMATION.KEY
Файл Найдено : C:\Users\User\AppData\Roaming\VAULT.KEY

• Нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[lisi4ka]

Сделано

AdwCleanerS0.txt

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-274455070-1554608599-3969838957-1000\...\Run: [AdobeBridge] => [X]
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
FF Extension: No Name - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\amo@dealplyshopping.com [not found]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[lisi4ka]

Готово

Fixlog.txt

[mike 1]

Логи в порядке. С расшифровкой не поможем.

[lisi4ka]

Спасибо! А в будущем возможна расшифровка или можно все удалять?

[mike 1]

Нет, невозможна. Там RSA-1024. Для каждого компьютера каждый раз создается 3 ключа. 2 ключа публичных и один приватный, которым вы можете расшифровать свои файлы. Секретный ключ шифруется 2 публичным ключом RSA злоумышленника, а в нем содержится код на расшифровку ваших файлов. VAULT.KEY может расшифровать только злоумышленник своим секретным 2 ключом.