Перейти к содержанию

Заархивировались все доки в VALUE


Рекомендуемые сообщения

После открытия документа с почты Google все документы заархивировались в VAULT. И выползло окошко с рекомендациями разблокировки.

Kaspersky Virus Removal Tool 2015; обнаружил вирус VAULT и произвел лечение с перезагрузкой компьютера при повторной диагностики вирус не выявлен, но файлы документов так и остались с расширением например pdf.vault.

Произведена процедура сбора данных с помощью сборщиков логов.

 

Что делать в данной ситуации и как привести файлы документов в исходный вид.

CollectionLog-2016.02.29-22.58.zip

Изменено пользователем Алексей Хренов
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
 QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe','');
 DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');

 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 


Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)


 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Ссылка на комментарий
Поделиться на другие сайты

 

Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
 QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe','');
 DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');

 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
 

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

Re: кАРАНТИН [KLAN-3881169804

 

 

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

 

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

 

CollectionLog-2016.03.04-19.22.zip

Ссылка на комментарий
Поделиться на другие сайты


Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

 

  •  
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.

 

 

AdwCleanerS2.txt

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Михаил Н
      От Михаил Н
      Добрый день! Нас атаковали злоумышленники. Заархивировали все наши рабочие папки с помощью WinRar. На диске С успели удалить неархивные папки. На диске E и съемном жестком диске G заархивировав и запаролив, всю информацию удалить не успели, т.к. мы заметили их присутствие и выключили компьютер. С помощью программы Recuva удалось вычислить, что они подключились под учеткой User-2 19.07.2024 г в 17:38, создали учетку Update, под которой зашли в 17:46. Мы их обнаружили в 20:55 19.07.2024 и выключили компьютер. Т.к. они не успели доделать свое гиблое дело, то никакого письма на компьютере у нас не оказалось. Но тем не менее, папки заархивированы и пароль неизвестен. С системой на диске С ничего не делали. Запустили программу PassFab for RAR, но этот процесс бесконечен. Также пытались восстановить файлы с помощью Recuva и ShadowExplorer. Файлы восстанавливают, однако они не открываются, т.к. оказываются поврежденными.
       
      Заранее благодарим за советы или возможную помощь.
       
      Addition.txt FRST.txt Recuva_deleted_files_от новых к старым_с19.07.2024_17.38.txt
    • Алексей387
×
×
  • Создать...