Geforse 0 Опубликовано 3 июня, 2016 Share Опубликовано 3 июня, 2016 Помогите пожалуйста, схватил вирус, текстовые файлы зашифровались в формам .vault тело вируса есть, а так же файлы VAULT.hta VAULT.KEY Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 3 июня, 2016 Share Опубликовано 3 июня, 2016 Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Geforse 0 Опубликовано 3 июня, 2016 Автор Share Опубликовано 3 июня, 2016 Готово CollectionLog-2016.06.03-14.20.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 3 июня, 2016 Share Опубликовано 3 июня, 2016 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', ''); DeleteFile('C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '32'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
Geforse 0 Опубликовано 3 июня, 2016 Автор Share Опубликовано 3 июня, 2016 (изменено) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', ''); DeleteFile('C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '32'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Пришел ответ. Вот что было в письме: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. VAULT.hta Получен неизвестный файл, он будет передан в Вирусную Лабораторию. С уважением, Лаборатория Касперского "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Номер КLAN: KLAN-4387231409 Какие будут дальше действия? Изменено 3 июня, 2016 пользователем Geforse Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 3 июня, 2016 Share Опубликовано 3 июня, 2016 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Цитата Ссылка на сообщение Поделиться на другие сайты
Geforse 0 Опубликовано 3 июня, 2016 Автор Share Опубликовано 3 июня, 2016 Готово CollectionLog-2016.06.03-15.59.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 3 июня, 2016 Share Опубликовано 3 июня, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Geforse 0 Опубликовано 6 июня, 2016 Автор Share Опубликовано 6 июня, 2016 Готово Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 июня, 2016 Share Опубликовано 6 июня, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicyScripts: Restriction <======= ATTENTION 2016-06-03 12:35 - 2016-06-03 12:35 - 01728456 _____ C:\Users\user2\AppData\Roaming\CONFIRMATION.KEY 2016-06-03 12:35 - 2016-06-03 12:35 - 00004540 _____ C:\Users\user2\AppData\Roaming\VAULT.hta 2016-06-03 12:35 - 2016-06-03 12:35 - 00001613 _____ C:\Users\user2\AppData\Roaming\VAULT.KEY C:\Users\user2\AppData\Local\Temp\506661db7d8.exe C:\Users\user2\AppData\Local\Temp\BSvcProcessor.exe C:\Users\user2\AppData\Local\Temp\BSvcUpdater.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Geforse 0 Опубликовано 6 июня, 2016 Автор Share Опубликовано 6 июня, 2016 Готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 июня, 2016 Share Опубликовано 6 июня, 2016 При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Цитата Ссылка на сообщение Поделиться на другие сайты
Geforse 0 Опубликовано 6 июня, 2016 Автор Share Опубликовано 6 июня, 2016 При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Так у меня вопрос. А лицензия должна быть именно на том компьютере где зашифрованы файлы или можно указать лицензию установленную на другом компьютере? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 июня, 2016 Share Опубликовано 6 июня, 2016 Можно. Цитата Ссылка на сообщение Поделиться на другие сайты
Geforse 0 Опубликовано 6 июня, 2016 Автор Share Опубликовано 6 июня, 2016 (изменено) Можно. Не подскажите ли Вы по 5 пункту из темы запрос на расшифровку, какие именно файлы прикрепить к запросу? И еще в той теме написано про файл README.txt От злоумышленников, у меня такого не было. Как быть? Изменено 6 июня, 2016 пользователем Geforse Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.