Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Компьютер заражен вирусом vault

Serzhutov
 Поделиться

Рекомендуемые сообщения

Serzhutov Новичок

Serzhutov

Опубликовано
Опубликовано

Здравствуйте! На эл.почту пришло письмо с темой "Бухгалтерия" и вложенным файлом с расширением js. При открытии данного файла были переименованы почти все файлы с расширениями: doc, xls, pdf, jpg. Комп пролечил, запустил утилиту Autlogger. Логи находятся в прикрепленном файле. Есть файл vault,key. Зашифрованы очень нужные файлы. Помогите, пожалуйста!

CollectionLog-2015.11.10-09.17.zipПолучение информации...

report1.logПолучение информации...

report2.logПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
Serzhutov Новичок

Serzhutov

Опубликовано
  • Автор
Опубликовано
  В 10.11.2015 в 06:57, thyrex сказал:

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
 
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

 

Все сделал, как, Вы указали. Файлы прикреплены.

Addition.txtПолучение информации...

FRST.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
OPR Extension: (CiPlus-4.5vV02.09) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-09-03]
OPR Extension: (MyBrowser 1.0.2V02.09) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\gegdfeiahlfolhcfioipjlkombmgbakh [2015-09-03]
2015-11-05 07:13 - 2015-11-05 07:13 - 00004292 _____ C:\VAULT.hta
2015-11-05 07:13 - 2015-11-05 07:13 - 00004292 _____ C:\Users\Пользователь\AppData\Roaming\VAULT.hta
2015-09-03 14:53 - 2015-09-03 14:53 - 00613255 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nsbC769.tmp
2015-09-03 14:51 - 2015-09-03 15:10 - 00000000 ____D C:\Program Files (x86)\Shop and Save Up
2015-09-03 12:58 - 2015-09-03 12:58 - 00000000 ____D C:\Program Files (x86)\Rising
2015-09-03 12:53 - 2015-09-03 12:53 - 00000000 ____D C:\Program Files\Common Files\Tencent
2015-09-03 12:51 - 2015-09-03 13:20 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\Tencent
2015-09-03 12:51 - 2015-09-03 12:51 - 00000000 ____D C:\Program Files (x86)\Tencent
2015-09-03 12:26 - 2015-09-03 14:01 - 00000000 ____D C:\Users\Пользователь\AppData\Local\11232
2015-09-03 12:20 - 2015-09-03 15:06 - 00000000 ____D C:\Program Files (x86)\YTDownloader
2015-09-03 12:20 - 2015-09-03 12:25 - 00000000 ____D C:\Users\Пользователь\AppData\Local\BrowserHelper
2015-09-03 12:17 - 2015-09-03 14:02 - 00000000 ____D C:\Program Files (x86)\ShopperPro
2015-09-03 12:17 - 2015-09-03 12:17 - 00000000 ____D C:\Users\Public\Documents\ShopperPro
2015-09-03 12:13 - 2015-09-03 12:13 - 00613255 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nsgFDD2.tmp
2015-09-03 12:08 - 2015-09-03 12:08 - 00613255 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nszDC7F.tmp
2015-09-03 12:07 - 2015-09-03 12:07 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\IQIYI Video
2015-09-03 12:07 - 2015-09-03 12:07 - 00000000 ____D C:\Users\Public\QiYi
2015-09-03 12:07 - 2015-09-03 12:07 - 00000000 ____D C:\IQIYI Video
2015-09-03 12:04 - 2015-09-03 14:04 - 00000000 ____D C:\Program Files (x86)\baidu
2015-09-03 11:52 - 2015-11-10 09:05 - 00000000 ____D C:\Program Files (x86)\21ECA600-1441266759-11DD-8136-08606EF19270
2015-09-03 11:31 - 2015-09-03 15:07 - 00000000 ____D C:\Program Files (x86)\AnyProtectEx
2015-09-03 11:31 - 2015-09-03 11:31 - 00628688 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nsa39EF.tmp
2015-09-03 11:31 - 2015-09-03 11:31 - 00000000 __SHD C:\Users\Пользователь\AppData\Roaming\AnyProtectEx
2015-09-03 11:02 - 2015-11-10 09:05 - 00000000 ____D C:\Program Files (x86)\CiPlus-4.5vV02.09
2015-09-03 10:53 - 2015-09-03 15:06 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\mystartsearch
2015-09-03 10:44 - 2015-09-03 14:04 - 00000000 ____D C:\Program Files (x86)\MyBrowser 1.0.2V02.09
2015-09-03 10:44 - 2015-09-03 10:44 - 00000000 ____D C:\Users\Пользователь\AppData\Local\globalUpdate
2015-09-03 10:44 - 2015-09-03 10:44 - 00000000 ____D C:\Program Files (x86)\globalUpdate
2015-09-03 10:42 - 2015-09-03 10:42 - 00000000 ____D C:\Users\Пользователь\AppData\Local\Crossbrowse
2015-09-03 10:41 - 2015-09-03 15:07 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_005010078
2015-09-03 10:41 - 2015-09-03 14:46 - 00000000 ____D C:\Users\Пользователь\AppData\Local\gmsd_ru_005010078
2015-09-03 10:40 - 2015-09-03 10:40 - 00000000 ____D C:\Program Files (x86)\Crossbrowse
2015-09-03 10:37 - 2015-09-03 15:06 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\cpuminer
2015-09-03 10:34 - 2015-09-03 15:10 - 00000000 ____D C:\Program Files (x86)\SFK
2015-09-03 10:32 - 2015-09-03 14:41 - 00000000 ____D C:\Users\Пользователь\AppData\LocalLow\SmartWeb
2015-09-03 10:32 - 2015-09-03 14:01 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\istartsurf
2015-09-03 10:30 - 2015-09-03 15:06 - 00000000 ____D C:\Program Files (x86)\WordSurfer_1.10.0.19
2015-09-03 10:20 - 2015-11-10 09:05 - 00000000 ____D C:\Program Files (x86)\21ECA600-1441261203-11DD-8136-08606EF19270
2015-09-03 10:20 - 2015-09-03 14:01 - 00000000 ____D C:\Users\Пользователь\AppData\Local\21ECA600-1441275655-11DD-8136-08606EF19270
2015-09-03 10:19 - 2015-09-03 15:07 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_025010078
2015-09-03 10:19 - 2015-09-03 15:06 - 00000000 ____D C:\Users\Пользователь\AppData\Local\gmsd_ru_025010078
2015-09-03 10:19 - 2015-09-03 14:01 - 00000000 ____D C:\Users\Пользователь\AppData\Local\cobunce
2015-04-19 16:20 - 2015-04-19 16:20 - 0005872 _____ () C:\Users\Пользователь\AppData\Roaming\5eqvO8tyEs98RDLuiWUWvh1
2015-04-19 16:20 - 2015-04-19 16:20 - 0005872 _____ () C:\Users\Пользователь\AppData\Roaming\efnyHQ4ukcp6r06iYmLtgMqnPY
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • dlitsov
      [РЕШЕНО] Майнер на компьютере
      Автор dlitsov
      Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему 
      диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи  . Сейчас уеду на работу , завтра готов к уничтожению его
      14d904d13b62d5466385f8e797bef654.txt
    • RobertoN1
      [РЕШЕНО] Майнер на компьютере
      Автор RobertoN1
      Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
      CollectionLog-2025.04.02-06.21.zip AV_block_remove_2025.04.02-06.08.log
    • Владислейв
      Компьютер сильно лагает
      Автор Владислейв
      Недавно переустановил виндовс на ноуте в надежде избавится от лагов из-за вирусов, не помогло. Прошу помочь в диагностике на наличие вирусов и по возможности их удалении. Спасибо) (Ноут старый но в свое время тянул Дота 2 а сейчас еле как Варкрафт 3 тянет, фрагментация и очистка папки Temp немного помогает, но все равно через время лаги возвращаются, сам ноут не нагревается от игры и других программ, кулер работает исправно)
       
      Проверка Касперского VRT угроз не обнаружило (проверку делал после сбора логов)
      CollectionLog-2025.03.29-01.52.zip
    • ZombOs
      Майнер на компьютере
      Автор ZombOs
      Столкнулся с вирусом при попытке проверить файл на Вирус тотал. При просмотре диспетчера, заметил подозрительный процесс под именем "COM Surrogate", который дублировал сам себя и потреблял большой ресурс процессора. При попытке отключения процесса через диспетчер задач, процесс завершается и происходит резкий выход из диспетчера. При попытке перейти по расположению файла открывается проводник, после диспетчер и проводник резко закрываются. При попытке найти папку через безопасный режим ее нет на месте. А с подключением в интернет вовсе не работает безопасны режим. При попытке скачать антивирус пишеь, "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору". На форма нашел пост, где говорится про программу AV block remover. Скачав ее через USB, запустил ее и получил следующие файл https://vk.com/away.php?to=https%3A%2F%2Fdrive.google.com%2Fdrive%2Ffolders%2F1tFVD4TYYqrMnXJZRZQbLncv3C9BjLZDK%3Fusp%3Dsharing&utf=1. В посте указали данный форм для обращения за помощью. 



      delminer.txt
    • ARKHIPOV
      [РЕШЕНО] На компьютере обнаружил вирус майнера, не удаляется Касперским
      Автор ARKHIPOV
      Добрый день! Пару дней назад компьютер после стандартного запуска вывел синий экран (BSOD). При отключении интернет соединения данная проблема исчезла. Это побудило меня приобрести ключ к Касперскому (до этого пользовался Malware, пробником, который истек и защиту в реальном времени уже не оказывал). Проверив ПК на вирусы, обнаружились Трояны (к сожалению логов и скринов не сохранил, причина дальше). Вирус сидел в exeшнике GoogleUpdate. Отключил службы, связанные с апдейтом гугла, удалил файлы связанные с ним, после полной проверки перезагрузил ПК и обнаружил надпись в Касперском: "Некоторые компоненты защиты повреждены", переустановил К (сообщение пропало и логи про удаленный вирус тоже), снова проверил на вирусы, снова перезагрузил, получил тот же результат. У меня подозрение на наличие майнера, который не удаляется стандартным путем и сидит где-то в системных файлах и службах. Прошу помочь восстановить работу служб и системы. Без интернет соединения ПК летает хорошо, при подключении работает медленней.
      CollectionLog-2025.02.18-11.00.zip
×
×
  • Создать...