msm21 0 Опубликовано 29 февраля, 2016 Share Опубликовано 29 февраля, 2016 Прошу расмотреть возможность расшифрофки файлов зашифрованных вирусом vault. В теле письма была приложена ссылка якобы на документ, при переходе по этой ссылке компьтер стал тормозить, зависли программы, открылось черное окошко с диском С, которое было мною закрыто. После этого было обнаружено, что файлы jpg, pdf, exl, doc зашифрованы с расширением ... .vault и появилась заставка с текстом о платной расшифровке файлов. CollectionLog-2016.02.29-20.14.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 29 февраля, 2016 Share Опубликовано 29 февраля, 2016 у вас лицензия на DrWeb? Цитата Ссылка на сообщение Поделиться на другие сайты
msm21 0 Опубликовано 29 февраля, 2016 Автор Share Опубликовано 29 февраля, 2016 (изменено) у вас лицензия на DrWeb? Нет, если возможность расшифровать есть - готовы купить лицензию. Изменено 29 февраля, 2016 пользователем msm21 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 29 февраля, 2016 Share Опубликовано 29 февраля, 2016 была бы лицензия на DrWeb - ушли бы сюда.https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ruно сразу обратите внимание: В большинстве случаев расшифровка НЕВОЗМОЖНА. была бы лицензия на продукт ЛК - можно было бы обратиться в ТП ЛК.так что думайте.пока подчистим следы заражения. Цитата Ссылка на сообщение Поделиться на другие сайты
msm21 0 Опубликовано 29 февраля, 2016 Автор Share Опубликовано 29 февраля, 2016 (изменено) как? хотелось бы узнать возможна ли именно в моем случае расшифровка? Для рассмотра ситуации прислали файл. Вижу у "Юный Техник" в теме была возможна расшифровка. Сообщение от модератора Roman_Five не постите простыни из цитат. Изменено 29 февраля, 2016 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 29 февраля, 2016 Share Опубликовано 29 февраля, 2016 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\windows\system32\windebug32.exe',''); QuarantineFile('C:\Users\Lenovo\AppData\Roaming\netprotocol.exe',''); DeleteFile('C:\Users\Lenovo\AppData\Roaming\netprotocol.exe','32'); DeleteFile('C:\windows\system32\windebug32.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O4 - HKCU\..\Run: [Netprotocol] C:\Users\Lenovo\AppData\Roaming\netprotocol.exe O4 - HKCU\..\Policies\Explorer\Run: [Windows Debugger 32] C:\windows\system32\windebug32.exe Сделайте новые логи по правилам (только пункт 2). Цитата Ссылка на сообщение Поделиться на другие сайты
msm21 0 Опубликовано 29 февраля, 2016 Автор Share Опубликовано 29 февраля, 2016 Сделайте новые логи по правилам (только пункт 2). Хотелось бы уточнить, пункт 2 относится к теме на форуме по ссылке или стандартный скрипт №2 указанный в окошке при запуске автологера (с участием клавиши шифт)? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 29 февраля, 2016 Share Опубликовано 29 февраля, 2016 Новые логи при помощи Autologger Цитата Ссылка на сообщение Поделиться на другие сайты
msm21 0 Опубликовано 29 февраля, 2016 Автор Share Опубликовано 29 февраля, 2016 (изменено) Ответ прислали: "Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.С уважением, Лаборатория Касперского" Не понятно что не получилось и как поместить их в архив с паролем infected.... "3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина." не получается выполнить пункт 3. после загрузки и наличия строки "Я хочу отправить на проверку Quarantine.zip" невозможно нажать повторно на ссылку Выбрать файл, т.к. такая ссылка не появляется... Изменено 1 марта, 2016 пользователем msm21 Цитата Ссылка на сообщение Поделиться на другие сайты
msm21 0 Опубликовано 1 марта, 2016 Автор Share Опубликовано 1 марта, 2016 Новые логи. Файлы из архива карантина антивирус вырезает при доставке. Несколько раз делали, а запоролить не получается, как просят, в 7-zip такую функцию найти не удалось. CollectionLog-2016.03.01-11.00.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 1 марта, 2016 Share Опубликовано 1 марта, 2016 Файлы из архива карантина антивирус вырезает при доставке. нет.он просто пустой. приложите логи MBAM и AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256 Цитата Ссылка на сообщение Поделиться на другие сайты
msm21 0 Опубликовано 1 марта, 2016 Автор Share Опубликовано 1 марта, 2016 (изменено) В архиве 4 файла bcqr00001...4.ini Изменено 1 марта, 2016 пользователем msm21 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 1 марта, 2016 Share Опубликовано 1 марта, 2016 )а файлов dat нету.карантин пуст.выполняйте рекомендации. Цитата Ссылка на сообщение Поделиться на другие сайты
msm21 0 Опубликовано 1 марта, 2016 Автор Share Опубликовано 1 марта, 2016 (изменено) приложите логи MBAM и AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256 вот логи. Vault.hta в архиве они почему-то так и не заметили с редиректом на тор. MBAM.txt AdwCleanerS1.txt Изменено 1 марта, 2016 пользователем msm21 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 1 марта, 2016 Share Опубликовано 1 марта, 2016 Удалите в МВАМ все найденное Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.