vault зашифровал данные

[nik134]

Здравствуйте, файлы на компьютере и переносном жестком диске стали с расширением .vault

Искренне надеемся на помощь.

 

CollectionLog-2015.11.25-16.29.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\1\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\Program Files (x86)\punto.bat','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','e1a04a3c');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ed3f074a');
DeleteFile('C:\Program Files (x86)\punto.bat','32');
DeleteFile('C:\Users\1\AppData\Local\Yandex\browser.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[nik134]

Здравствуйте, перед выполнением первого скрипта забыл отключить avira (важно?)

 

После отправки архива получил сообщение:

 

[KLAN-3386401105]

"Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

 

punto.bat

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского"

 

Отчет и новые логи прилагаю.

ClearLNK-26.11.2015_12-52.log

CollectionLog-2015.11.26-13.07.zip

 

 

 

 

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[nik134]

Приветствую. (удалил временно avira)

 

Addition.txt

FRST.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-2850719992-3562858262-174922078-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a726f074018922b23eeced1f4f98788d&text={searchTerms}
HKU\S-1-5-21-2850719992-3562858262-174922078-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a726f074018922b23eeced1f4f98788d&text={searchTerms}
SearchScopes: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a726f074018922b23eeced1f4f98788d&text={searchTerms}
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> C:\Program Files (x86)\Yandex\FastDial\fastdial.dll => No File
Toolbar: HKLM-x32 - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartab.dll No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: No Name - C:\Program Files (x86)\BetterSurf\BetterSurfPlusV1\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha259\ff [not found]
FF HKLM-x32\...\Firefox\Extensions: [ext@bettersurfplusv1.com] - C:\Program Files (x86)\BetterSurf\BetterSurfPlusV1\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha259.net] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha259\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [ext@VideoPlayerV3beta4781.net] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta4781\ff => not found
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\1\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [ogcmclippmcndhiedfolmliifebknkli] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta4781\ch\VideoPlayerV3beta4781.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [ajadlheagenmmedmhaoafgkdenfilcme] - C:\Program Files (x86)\BetterSurf\BetterSurfPlusV1\ch\BetterSurfPlusV1.crx <not found>
C:\ProgramData\help.bat
C:\Users\Все пользователи\help.bat
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[nik134]

Приветствую (запускал все с рабочего стола,там помимо fixlist еще много всего).

И галочки из пункта не включал. Надо было включать?

"Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files."

 

Fixlog.txt

Изменено 2 декабря, 2015 пользователем nik134

[thyrex]

С расшифровкой не поможем