Перейти к содержанию

Шифровальщик vault


Рекомендуемые сообщения

Здравствуйте!

 

С расшифровкой не поможем. По логам видно много адвари, для очистки проделайте следующее:

 

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

 

CiPlus-4.5vV17.07

CiPlus-4.5vV19.07

mystartsearch uninstall

 

 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\00000000-1436944780-0000-0000-6CF049434E8B\knsb34A.tmp', '');
 QuarantineFile('C:\Program Files\00000000-1436944780-0000-0000-6CF049434E8B\knsu4E4.tmp', '');
 QuarantineFile('C:\Documents and Settings\Александр\Local Settings\Application Data\gmsd_ru_005010033\upgmsd_ru_005010033.exe', '');
 QuarantineFile('C:\Documents and Settings\Александр\Local Settings\Application Data\gmsd_ru_005010065\upgmsd_ru_005010065.exe', '');
 QuarantineFile('C:\Documents and Settings\Александр\Application Data\ddae25beb5b57d6e.hta', '');
 DeleteFile('C:\Program Files\00000000-1436944780-0000-0000-6CF049434E8B\knsb34A.tmp', '32');
 DeleteFile('C:\Program Files\00000000-1436944780-0000-0000-6CF049434E8B\knsu4E4.tmp', '32');
 DeleteFile('C:\Documents and Settings\Александр\Local Settings\Application Data\gmsd_ru_005010033\upgmsd_ru_005010033.exe', '32');
 DeleteFile('C:\Documents and Settings\Александр\Local Settings\Application Data\gmsd_ru_005010065\upgmsd_ru_005010065.exe', '32');
 DeleteFile('C:\Documents and Settings\Александр\Application Data\ddae25beb5b57d6e.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upgmsd_ru_005010033.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upgmsd_ru_005010065.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b320494e');
 DeleteService('bixyboli');
 DeleteService('nuryriqu');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.
 
 
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
 
Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
Прикрепите отчет к своему следующему сообщению.

 
Подробнее читайте в этом руководстве.
 
Ссылка на комментарий
Поделиться на другие сайты


Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).

В меню Настройки отметьте:


Сброс настроек Proxy

Сброс политик IE

Сброс политик Chrome


[*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.

[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

[*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

 

 

Затем:


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.



start
CreateRestorePoint:
OPR Extension: (CiPlus-4.5vV17.07) - C:\Documents and Settings\Александр\Application Data\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-07-17]
2015-09-21 12:41 - 2015-07-20 09:56 - 00001058 _____ C:\WINDOWS\Tasks\XGAPNd7J1YHGjso2dege02GID9T.job
2015-09-21 12:41 - 2015-07-20 09:20 - 00001040 _____ C:\WINDOWS\Tasks\FXuBwPEDCJhAI73cMX.job
2015-09-21 12:41 - 2015-07-17 17:58 - 00001028 _____ C:\WINDOWS\Tasks\7nSiZ9hjz6Ho.job
2015-09-09 12:12 - 2015-04-19 16:20 - 00000554 _____ C:\Documents and Settings\Александр\Application Data\XGAPNd7J1YHGjso2dege02GID9T
2015-09-09 12:12 - 2015-04-19 16:20 - 00000554 _____ C:\Documents and Settings\Александр\Application Data\FXuBwPEDCJhAI73cMX
2015-09-09 12:12 - 2015-04-19 16:20 - 00000554 _____ C:\Documents and Settings\Александр\Application Data\7nSiZ9hjz6Ho
2015-04-19 16:20 - 2015-09-09 12:12 - 0000554 _____ () C:\Documents and Settings\Александр\Application Data\7nSiZ9hjz6Ho
2015-04-20 18:05 - 2015-04-20 18:05 - 1579520 _____ () C:\Documents and Settings\Александр\Application Data\7nSiZ9hjz6Ho.exe
2015-04-19 16:20 - 2015-09-09 12:12 - 0000554 _____ () C:\Documents and Settings\Александр\Application Data\FXuBwPEDCJhAI73cMX
2015-04-20 18:05 - 2015-04-20 18:05 - 1579520 _____ () C:\Documents and Settings\Александр\Application Data\FXuBwPEDCJhAI73cMX.exe
2015-04-19 16:20 - 2015-09-09 12:12 - 0000554 _____ () C:\Documents and Settings\Александр\Application Data\XGAPNd7J1YHGjso2dege02GID9T
2015-04-20 18:05 - 2015-04-20 18:05 - 1579520 _____ () C:\Documents and Settings\Александр\Application Data\XGAPNd7J1YHGjso2dege02GID9T.exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMBlueScreenFixSetup_10.7.16065.215_1069923236.exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(1).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(2).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(3).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(4).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(5).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(6).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(7).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(8).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114.exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.10.16443.223_683216754(1).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.10.16443.223_683216754(2).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.10.16443.223_683216754(3).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.10.16443.223_683216754(4).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.10.16443.223_683216754(5).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.10.16443.223_683216754.exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.7.16065.215_551019665(1).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.7.16065.215_551019665.exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa(1).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa(2).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa(3).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa(4).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa(5).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa(6).exe
C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa.exe
2015-09-11 13:21 - 2015-08-20 15:50 - 00000000 ____D C:\Documents and Settings\?????????\Local Settings\Temp
Task: C:\WINDOWS\Tasks\7nSiZ9hjz6Ho.job => C:\Documents and Settings\Application Data\7nSiZ9hjz6Ho.exe
Task: C:\WINDOWS\Tasks\FXuBwPEDCJhAI73cMX.job => C:\Documents and Settings\Application Data\FXuBwPEDCJhAI73cMX.exe
Task: C:\WINDOWS\Tasks\XGAPNd7J1YHGjso2dege02GID9T.job => C:\Documents and Settings\Application Data\XGAPNd7J1YHGjso2dege02GID9T.exe
DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.7.16065.215\QMAccountProtection.exe] => Enabled:?-?
DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QMAccountProtection.exe] => Enabled:?-?
DomainProfile\AuthorizedApplications: [c:\program files\common files\tencent\qqdownload\130\tencentdl.exe] => Enabled:????????
DomainProfile\AuthorizedApplications: [c:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe] => Enabled:????????Crash??
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Александр\Application Data\IQIYI Video\LStyle\GpUpdate.exe] => Enabled:???????
StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\GeePlayer\GeePlayer.exe] => Enabled:????????
StandardProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.7.16065.215\QMAccountProtection.exe] => Enabled:?-?
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Александр\Application Data\IQIYI Video\LStyle\QyUpdate.exe] => Enabled:???????
StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\LStyle\QyClient.exe] => Enabled:???PPS??
StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\LStyle\QyWebPlayer.exe] => Enabled:???PPS??
StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\Common\QyKernel.exe] => Enabled:???HCDN????????
StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\LStyle\QyPlayer.exe] => Enabled:????????
StandardProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QMAccountProtection.exe] => Enabled:?-?
StandardProfile\AuthorizedApplications: [c:\program files\common files\tencent\qqdownload\130\tencentdl.exe] => Enabled:????????
StandardProfile\AuthorizedApplications: [c:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe] => Enabled:????????Crash??
Reboot:
end


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

С "адварью" разобрались.

 

С расшифровкой, у Вас есть два "легитимных" варианта:

 

1. Ознакомьтесь со статьей.

 

2. Пробуйте восстановить средствами Windows.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...