Перейти к содержанию

Компьютер заражен вирусом vault

Serzhutov
 Поделиться

Рекомендуемые сообщения

Serzhutov

Serzhutov

Опубликовано
Опубликовано

Здравствуйте! На эл.почту пришло письмо с темой "Бухгалтерия" и вложенным файлом с расширением js. При открытии данного файла были переименованы почти все файлы с расширениями: doc, xls, pdf, jpg. Комп пролечил, запустил утилиту Autlogger. Логи находятся в прикрепленном файле. Есть файл vault,key. Зашифрованы очень нужные файлы. Помогите, пожалуйста!

CollectionLog-2015.11.10-09.17.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
Serzhutov

Serzhutov

Опубликовано
  • Автор
Опубликовано

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
 
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

 

Все сделал, как, Вы указали. Файлы прикреплены.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
OPR Extension: (CiPlus-4.5vV02.09) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-09-03]
OPR Extension: (MyBrowser 1.0.2V02.09) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\gegdfeiahlfolhcfioipjlkombmgbakh [2015-09-03]
2015-11-05 07:13 - 2015-11-05 07:13 - 00004292 _____ C:\VAULT.hta
2015-11-05 07:13 - 2015-11-05 07:13 - 00004292 _____ C:\Users\Пользователь\AppData\Roaming\VAULT.hta
2015-09-03 14:53 - 2015-09-03 14:53 - 00613255 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nsbC769.tmp
2015-09-03 14:51 - 2015-09-03 15:10 - 00000000 ____D C:\Program Files (x86)\Shop and Save Up
2015-09-03 12:58 - 2015-09-03 12:58 - 00000000 ____D C:\Program Files (x86)\Rising
2015-09-03 12:53 - 2015-09-03 12:53 - 00000000 ____D C:\Program Files\Common Files\Tencent
2015-09-03 12:51 - 2015-09-03 13:20 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\Tencent
2015-09-03 12:51 - 2015-09-03 12:51 - 00000000 ____D C:\Program Files (x86)\Tencent
2015-09-03 12:26 - 2015-09-03 14:01 - 00000000 ____D C:\Users\Пользователь\AppData\Local\11232
2015-09-03 12:20 - 2015-09-03 15:06 - 00000000 ____D C:\Program Files (x86)\YTDownloader
2015-09-03 12:20 - 2015-09-03 12:25 - 00000000 ____D C:\Users\Пользователь\AppData\Local\BrowserHelper
2015-09-03 12:17 - 2015-09-03 14:02 - 00000000 ____D C:\Program Files (x86)\ShopperPro
2015-09-03 12:17 - 2015-09-03 12:17 - 00000000 ____D C:\Users\Public\Documents\ShopperPro
2015-09-03 12:13 - 2015-09-03 12:13 - 00613255 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nsgFDD2.tmp
2015-09-03 12:08 - 2015-09-03 12:08 - 00613255 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nszDC7F.tmp
2015-09-03 12:07 - 2015-09-03 12:07 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\IQIYI Video
2015-09-03 12:07 - 2015-09-03 12:07 - 00000000 ____D C:\Users\Public\QiYi
2015-09-03 12:07 - 2015-09-03 12:07 - 00000000 ____D C:\IQIYI Video
2015-09-03 12:04 - 2015-09-03 14:04 - 00000000 ____D C:\Program Files (x86)\baidu
2015-09-03 11:52 - 2015-11-10 09:05 - 00000000 ____D C:\Program Files (x86)\21ECA600-1441266759-11DD-8136-08606EF19270
2015-09-03 11:31 - 2015-09-03 15:07 - 00000000 ____D C:\Program Files (x86)\AnyProtectEx
2015-09-03 11:31 - 2015-09-03 11:31 - 00628688 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nsa39EF.tmp
2015-09-03 11:31 - 2015-09-03 11:31 - 00000000 __SHD C:\Users\Пользователь\AppData\Roaming\AnyProtectEx
2015-09-03 11:02 - 2015-11-10 09:05 - 00000000 ____D C:\Program Files (x86)\CiPlus-4.5vV02.09
2015-09-03 10:53 - 2015-09-03 15:06 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\mystartsearch
2015-09-03 10:44 - 2015-09-03 14:04 - 00000000 ____D C:\Program Files (x86)\MyBrowser 1.0.2V02.09
2015-09-03 10:44 - 2015-09-03 10:44 - 00000000 ____D C:\Users\Пользователь\AppData\Local\globalUpdate
2015-09-03 10:44 - 2015-09-03 10:44 - 00000000 ____D C:\Program Files (x86)\globalUpdate
2015-09-03 10:42 - 2015-09-03 10:42 - 00000000 ____D C:\Users\Пользователь\AppData\Local\Crossbrowse
2015-09-03 10:41 - 2015-09-03 15:07 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_005010078
2015-09-03 10:41 - 2015-09-03 14:46 - 00000000 ____D C:\Users\Пользователь\AppData\Local\gmsd_ru_005010078
2015-09-03 10:40 - 2015-09-03 10:40 - 00000000 ____D C:\Program Files (x86)\Crossbrowse
2015-09-03 10:37 - 2015-09-03 15:06 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\cpuminer
2015-09-03 10:34 - 2015-09-03 15:10 - 00000000 ____D C:\Program Files (x86)\SFK
2015-09-03 10:32 - 2015-09-03 14:41 - 00000000 ____D C:\Users\Пользователь\AppData\LocalLow\SmartWeb
2015-09-03 10:32 - 2015-09-03 14:01 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\istartsurf
2015-09-03 10:30 - 2015-09-03 15:06 - 00000000 ____D C:\Program Files (x86)\WordSurfer_1.10.0.19
2015-09-03 10:20 - 2015-11-10 09:05 - 00000000 ____D C:\Program Files (x86)\21ECA600-1441261203-11DD-8136-08606EF19270
2015-09-03 10:20 - 2015-09-03 14:01 - 00000000 ____D C:\Users\Пользователь\AppData\Local\21ECA600-1441275655-11DD-8136-08606EF19270
2015-09-03 10:19 - 2015-09-03 15:07 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_025010078
2015-09-03 10:19 - 2015-09-03 15:06 - 00000000 ____D C:\Users\Пользователь\AppData\Local\gmsd_ru_025010078
2015-09-03 10:19 - 2015-09-03 14:01 - 00000000 ____D C:\Users\Пользователь\AppData\Local\cobunce
2015-04-19 16:20 - 2015-04-19 16:20 - 0005872 _____ () C:\Users\Пользователь\AppData\Roaming\5eqvO8tyEs98RDLuiWUWvh1
2015-04-19 16:20 - 2015-04-19 16:20 - 0005872 _____ () C:\Users\Пользователь\AppData\Roaming\efnyHQ4ukcp6r06iYmLtgMqnPY
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Viacheslau T
      [РЕШЕНО] Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • Алеся Сорокина
      Поймали на компьютере шифровальщик
      Автор Алеся Сорокина
      Операционная система была переустановлена. Письмо и примеры файлов приложили. Пароль на архив virus
      virus.zip
    • 26alexx
      [РЕШЕНО] Наличие вируса/майнера на компьютере.
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • Владимир Д.
      Защифровали компьютер. [Rdpdik6@gmail.com].lockedfile
      Автор Владимир Д.
      В выходные подобрали пароль от входа через удаленный рабочий стол и зашифровали компьютер. Также третьими лицами были внесены изменения в систему, при загрузке появляется сообщение (см. Изображение WhatsApp 2025-08-11.jpg), а вход под другой учетной записи не возможен, ошибка - Службе "Служба профилей пользователей" не удалось войти в систему. Невозможно загрузить профиль пользователя.
      Сканирование Farbar Recovery Scan Tool производилось из среды восстановления Windows.
       

      FRST.rar
×
×
  • Создать...