Шифровальщик vault

[Бауштелле]

Ваши декодеры не помогают. Вирус вроде удалил, так как новые файлы не шифрует. Логи прикладываю.

CollectionLog-2015.09.21-10.39.zip

[Sandor]

Здравствуйте!

 

С расшифровкой не поможем. По логам видно много адвари, для очистки проделайте следующее:

 

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

 

CiPlus-4.5vV17.07

CiPlus-4.5vV19.07

mystartsearch uninstall

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\00000000-1436944780-0000-0000-6CF049434E8B\knsb34A.tmp', '');
 QuarantineFile('C:\Program Files\00000000-1436944780-0000-0000-6CF049434E8B\knsu4E4.tmp', '');
 QuarantineFile('C:\Documents and Settings\Александр\Local Settings\Application Data\gmsd_ru_005010033\upgmsd_ru_005010033.exe', '');
 QuarantineFile('C:\Documents and Settings\Александр\Local Settings\Application Data\gmsd_ru_005010065\upgmsd_ru_005010065.exe', '');
 QuarantineFile('C:\Documents and Settings\Александр\Application Data\ddae25beb5b57d6e.hta', '');
 DeleteFile('C:\Program Files\00000000-1436944780-0000-0000-6CF049434E8B\knsb34A.tmp', '32');
 DeleteFile('C:\Program Files\00000000-1436944780-0000-0000-6CF049434E8B\knsu4E4.tmp', '32');
 DeleteFile('C:\Documents and Settings\Александр\Local Settings\Application Data\gmsd_ru_005010033\upgmsd_ru_005010033.exe', '32');
 DeleteFile('C:\Documents and Settings\Александр\Local Settings\Application Data\gmsd_ru_005010065\upgmsd_ru_005010065.exe', '32');
 DeleteFile('C:\Documents and Settings\Александр\Application Data\ddae25beb5b57d6e.hta', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upgmsd_ru_005010033.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upgmsd_ru_005010065.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b320494e');
 DeleteService('bixyboli');
 DeleteService('nuryriqu');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.
 

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[Бауштелле]

KLAN-3155485853

AdwCleanerS1.txt

[Sandor]

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).

В меню Настройки отметьте:

Сброс настроек Proxy

Сброс политик IE

Сброс политик Chrome

[*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.

[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

[*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

 

 

Затем:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Бауштелле]

Во вложении

AdwCleanerC1.txt

Addition.txt

Shortcut.txt

FRST.txt

[Sandor]

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

start

CreateRestorePoint:

OPR Extension: (CiPlus-4.5vV17.07) - C:\Documents and Settings\Александр\Application Data\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-07-17]

2015-09-21 12:41 - 2015-07-20 09:56 - 00001058 _____ C:\WINDOWS\Tasks\XGAPNd7J1YHGjso2dege02GID9T.job

2015-09-21 12:41 - 2015-07-20 09:20 - 00001040 _____ C:\WINDOWS\Tasks\FXuBwPEDCJhAI73cMX.job

2015-09-21 12:41 - 2015-07-17 17:58 - 00001028 _____ C:\WINDOWS\Tasks\7nSiZ9hjz6Ho.job

2015-09-09 12:12 - 2015-04-19 16:20 - 00000554 _____ C:\Documents and Settings\Александр\Application Data\XGAPNd7J1YHGjso2dege02GID9T

2015-09-09 12:12 - 2015-04-19 16:20 - 00000554 _____ C:\Documents and Settings\Александр\Application Data\FXuBwPEDCJhAI73cMX

2015-09-09 12:12 - 2015-04-19 16:20 - 00000554 _____ C:\Documents and Settings\Александр\Application Data\7nSiZ9hjz6Ho

2015-04-19 16:20 - 2015-09-09 12:12 - 0000554 _____ () C:\Documents and Settings\Александр\Application Data\7nSiZ9hjz6Ho

2015-04-20 18:05 - 2015-04-20 18:05 - 1579520 _____ () C:\Documents and Settings\Александр\Application Data\7nSiZ9hjz6Ho.exe

2015-04-19 16:20 - 2015-09-09 12:12 - 0000554 _____ () C:\Documents and Settings\Александр\Application Data\FXuBwPEDCJhAI73cMX

2015-04-20 18:05 - 2015-04-20 18:05 - 1579520 _____ () C:\Documents and Settings\Александр\Application Data\FXuBwPEDCJhAI73cMX.exe

2015-04-19 16:20 - 2015-09-09 12:12 - 0000554 _____ () C:\Documents and Settings\Александр\Application Data\XGAPNd7J1YHGjso2dege02GID9T

2015-04-20 18:05 - 2015-04-20 18:05 - 1579520 _____ () C:\Documents and Settings\Александр\Application Data\XGAPNd7J1YHGjso2dege02GID9T.exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMBlueScreenFixSetup_10.7.16065.215_1069923236.exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(1).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(2).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(3).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(4).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(5).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(6).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(7).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114(8).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMDTLSDKSetup20141114.exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.10.16443.223_683216754(1).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.10.16443.223_683216754(2).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.10.16443.223_683216754(3).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.10.16443.223_683216754(4).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.10.16443.223_683216754(5).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.10.16443.223_683216754.exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.7.16065.215_551019665(1).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQMSystemSetup_10.7.16065.215_551019665.exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa(1).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa(2).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa(3).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa(4).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa(5).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa(6).exe

C:\Documents and Settings\?????????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa.exe

2015-09-11 13:21 - 2015-08-20 15:50 - 00000000 ____D C:\Documents and Settings\?????????\Local Settings\Temp

Task: C:\WINDOWS\Tasks\7nSiZ9hjz6Ho.job => C:\Documents and Settings\Application Data\7nSiZ9hjz6Ho.exe

Task: C:\WINDOWS\Tasks\FXuBwPEDCJhAI73cMX.job => C:\Documents and Settings\Application Data\FXuBwPEDCJhAI73cMX.exe

Task: C:\WINDOWS\Tasks\XGAPNd7J1YHGjso2dege02GID9T.job => C:\Documents and Settings\Application Data\XGAPNd7J1YHGjso2dege02GID9T.exe

DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.7.16065.215\QMAccountProtection.exe] => Enabled:?-?

DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QMAccountProtection.exe] => Enabled:?-?

DomainProfile\AuthorizedApplications: [c:\program files\common files\tencent\qqdownload\130\tencentdl.exe] => Enabled:????????

DomainProfile\AuthorizedApplications: [c:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe] => Enabled:????????Crash??

StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Александр\Application Data\IQIYI Video\LStyle\GpUpdate.exe] => Enabled:???????

StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\GeePlayer\GeePlayer.exe] => Enabled:????????

StandardProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.7.16065.215\QMAccountProtection.exe] => Enabled:?-?

StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Александр\Application Data\IQIYI Video\LStyle\QyUpdate.exe] => Enabled:???????

StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\LStyle\QyClient.exe] => Enabled:???PPS??

StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\LStyle\QyWebPlayer.exe] => Enabled:???PPS??

StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\Common\QyKernel.exe] => Enabled:???HCDN????????

StandardProfile\AuthorizedApplications: [C:\Program Files\IQIYI Video\LStyle\QyPlayer.exe] => Enabled:????????

StandardProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16443.223\QMAccountProtection.exe] => Enabled:?-?

StandardProfile\AuthorizedApplications: [c:\program files\common files\tencent\qqdownload\130\tencentdl.exe] => Enabled:????????

StandardProfile\AuthorizedApplications: [c:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe] => Enabled:????????Crash??

Reboot:

end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 21 сентября, 2015 пользователем Sandor

[Бауштелле]

В приложении

Fixlog.txt

[Sandor]

С "адварью" разобрались.

 

С расшифровкой, у Вас есть два "легитимных" варианта:

 

1. Ознакомьтесь со статьей.

 

2. Пробуйте восстановить средствами Windows.