VAULT и прочее

[vladimir_s]

Вирус зашифровал файлы,как почистить плюс сетевые вирусы и сами зашифрованные файлы?

Addition.txt

FRST.txt

CollectionLog-2016.06.01-15.31.zip

Log MBAM.txt

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\A95B~1\AppData\Roaming\mslqxe.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe','');
 DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Users\A95B~1\AppData\Roaming\mslqxe.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\841016801','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[vladimir_s]

Выполнил. Архив с avz не отправлял он пустой, вроде как сам вирус шифратор я нашел в папке Temp, если нужно могу его отправить, только как? по каким правилам?. Меня Shadow Explorer спас, были теневые копии зашифрованных файлов.

Addition.txt

CollectionLog-2016.06.02-09.37.zip

FRST.txt

Изменено 2 июня, 2016 пользователем vladimir_s

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {DC9A359A-7006-411A-919A-3F36B5FAEAD5} - \chrome5_logon -> No File <==== ATTENTION
Task: {5AB6F23E-892C-48D6-B832-6A7593C7BB05} - \chrome5 -> No File <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2160939129-3061415795-804229487-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Extension: FProtected v15.2.6 - C:\Users\Бухгалтер\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\likenetwork@ip-come.lv [2015-02-06] [not signed]
2016-06-01 10:33 - 2016-06-01 10:33 - 00004540 _____ C:\VAULT.hta
2016-06-01 10:33 - 2016-06-01 10:33 - 00004540 _____ C:\Users\Бухгалтер\AppData\Roaming\VAULT.hta
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[vladimir_s]

Готово.

Fixlog.txt

[thyrex]

С расшифровкой помочь не сможем