Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Компьютер заражен вирусом vault

Serzhutov
 Поделиться

Рекомендуемые сообщения

Serzhutov Новичок

Serzhutov

Опубликовано
Опубликовано

Здравствуйте! На эл.почту пришло письмо с темой "Бухгалтерия" и вложенным файлом с расширением js. При открытии данного файла были переименованы почти все файлы с расширениями: doc, xls, pdf, jpg. Комп пролечил, запустил утилиту Autlogger. Логи находятся в прикрепленном файле. Есть файл vault,key. Зашифрованы очень нужные файлы. Помогите, пожалуйста!

CollectionLog-2015.11.10-09.17.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
Serzhutov Новичок

Serzhutov

Опубликовано
  • Автор
Опубликовано

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
 
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

 

Все сделал, как, Вы указали. Файлы прикреплены.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
OPR Extension: (CiPlus-4.5vV02.09) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-09-03]
OPR Extension: (MyBrowser 1.0.2V02.09) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\gegdfeiahlfolhcfioipjlkombmgbakh [2015-09-03]
2015-11-05 07:13 - 2015-11-05 07:13 - 00004292 _____ C:\VAULT.hta
2015-11-05 07:13 - 2015-11-05 07:13 - 00004292 _____ C:\Users\Пользователь\AppData\Roaming\VAULT.hta
2015-09-03 14:53 - 2015-09-03 14:53 - 00613255 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nsbC769.tmp
2015-09-03 14:51 - 2015-09-03 15:10 - 00000000 ____D C:\Program Files (x86)\Shop and Save Up
2015-09-03 12:58 - 2015-09-03 12:58 - 00000000 ____D C:\Program Files (x86)\Rising
2015-09-03 12:53 - 2015-09-03 12:53 - 00000000 ____D C:\Program Files\Common Files\Tencent
2015-09-03 12:51 - 2015-09-03 13:20 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\Tencent
2015-09-03 12:51 - 2015-09-03 12:51 - 00000000 ____D C:\Program Files (x86)\Tencent
2015-09-03 12:26 - 2015-09-03 14:01 - 00000000 ____D C:\Users\Пользователь\AppData\Local\11232
2015-09-03 12:20 - 2015-09-03 15:06 - 00000000 ____D C:\Program Files (x86)\YTDownloader
2015-09-03 12:20 - 2015-09-03 12:25 - 00000000 ____D C:\Users\Пользователь\AppData\Local\BrowserHelper
2015-09-03 12:17 - 2015-09-03 14:02 - 00000000 ____D C:\Program Files (x86)\ShopperPro
2015-09-03 12:17 - 2015-09-03 12:17 - 00000000 ____D C:\Users\Public\Documents\ShopperPro
2015-09-03 12:13 - 2015-09-03 12:13 - 00613255 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nsgFDD2.tmp
2015-09-03 12:08 - 2015-09-03 12:08 - 00613255 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nszDC7F.tmp
2015-09-03 12:07 - 2015-09-03 12:07 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\IQIYI Video
2015-09-03 12:07 - 2015-09-03 12:07 - 00000000 ____D C:\Users\Public\QiYi
2015-09-03 12:07 - 2015-09-03 12:07 - 00000000 ____D C:\IQIYI Video
2015-09-03 12:04 - 2015-09-03 14:04 - 00000000 ____D C:\Program Files (x86)\baidu
2015-09-03 11:52 - 2015-11-10 09:05 - 00000000 ____D C:\Program Files (x86)\21ECA600-1441266759-11DD-8136-08606EF19270
2015-09-03 11:31 - 2015-09-03 15:07 - 00000000 ____D C:\Program Files (x86)\AnyProtectEx
2015-09-03 11:31 - 2015-09-03 11:31 - 00628688 _____ (CMI Limited) C:\Users\Пользователь\AppData\Local\nsa39EF.tmp
2015-09-03 11:31 - 2015-09-03 11:31 - 00000000 __SHD C:\Users\Пользователь\AppData\Roaming\AnyProtectEx
2015-09-03 11:02 - 2015-11-10 09:05 - 00000000 ____D C:\Program Files (x86)\CiPlus-4.5vV02.09
2015-09-03 10:53 - 2015-09-03 15:06 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\mystartsearch
2015-09-03 10:44 - 2015-09-03 14:04 - 00000000 ____D C:\Program Files (x86)\MyBrowser 1.0.2V02.09
2015-09-03 10:44 - 2015-09-03 10:44 - 00000000 ____D C:\Users\Пользователь\AppData\Local\globalUpdate
2015-09-03 10:44 - 2015-09-03 10:44 - 00000000 ____D C:\Program Files (x86)\globalUpdate
2015-09-03 10:42 - 2015-09-03 10:42 - 00000000 ____D C:\Users\Пользователь\AppData\Local\Crossbrowse
2015-09-03 10:41 - 2015-09-03 15:07 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_005010078
2015-09-03 10:41 - 2015-09-03 14:46 - 00000000 ____D C:\Users\Пользователь\AppData\Local\gmsd_ru_005010078
2015-09-03 10:40 - 2015-09-03 10:40 - 00000000 ____D C:\Program Files (x86)\Crossbrowse
2015-09-03 10:37 - 2015-09-03 15:06 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\cpuminer
2015-09-03 10:34 - 2015-09-03 15:10 - 00000000 ____D C:\Program Files (x86)\SFK
2015-09-03 10:32 - 2015-09-03 14:41 - 00000000 ____D C:\Users\Пользователь\AppData\LocalLow\SmartWeb
2015-09-03 10:32 - 2015-09-03 14:01 - 00000000 ____D C:\Users\Пользователь\AppData\Roaming\istartsurf
2015-09-03 10:30 - 2015-09-03 15:06 - 00000000 ____D C:\Program Files (x86)\WordSurfer_1.10.0.19
2015-09-03 10:20 - 2015-11-10 09:05 - 00000000 ____D C:\Program Files (x86)\21ECA600-1441261203-11DD-8136-08606EF19270
2015-09-03 10:20 - 2015-09-03 14:01 - 00000000 ____D C:\Users\Пользователь\AppData\Local\21ECA600-1441275655-11DD-8136-08606EF19270
2015-09-03 10:19 - 2015-09-03 15:07 - 00000000 ____D C:\Program Files (x86)\gmsd_ru_025010078
2015-09-03 10:19 - 2015-09-03 15:06 - 00000000 ____D C:\Users\Пользователь\AppData\Local\gmsd_ru_025010078
2015-09-03 10:19 - 2015-09-03 14:01 - 00000000 ____D C:\Users\Пользователь\AppData\Local\cobunce
2015-04-19 16:20 - 2015-04-19 16:20 - 0005872 _____ () C:\Users\Пользователь\AppData\Roaming\5eqvO8tyEs98RDLuiWUWvh1
2015-04-19 16:20 - 2015-04-19 16:20 - 0005872 _____ () C:\Users\Пользователь\AppData\Roaming\efnyHQ4ukcp6r06iYmLtgMqnPY
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 26alexx
      [РЕШЕНО] Наличие вируса/майнера на компьютере.
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • super__feya
      [РЕШЕНО] Подозрение на наличие вируса/майнера на компьютере.
      Автор super__feya
      Здравствуйте! У меня следующая проблема: в последнее время самопроизвольно переподключалась мышь (воспроизводился системный звук Windows подключения нового внешнего устройства, после этого курсор на долю секунды замирал и после продолжал работать как и прежде). Я думал, что проблема в разъеме, поэтому переподключил мышь в другой usb-разъем, но ситуация не изменилась. Помимо этого, при открытии монитора ресурсов, во вкладке "ЦП" показаны два приостановленных процесса: "SearchApp.exe" и "ShellExperienceHost.exe" (слышал, что это может быть следствием наличия майнера на компьютере). Также я произвел проверку с помощью "Kaspersky Virus Removal Tool". Обнаружилось порядка дюжины подозрительных файлов, которые я удалил, но ситуация не изменилась. Пожалуйста, подскажите решение данной проблемы.
      CollectionLog-2025.05.05-17.33.zip
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
×
×
  • Создать...