Vladimir Borischuk 0 Опубликовано 17 июня, 2016 Share Опубликовано 17 июня, 2016 Пришло на почту письмо следующего содержания: "Приветствуем Вас.Обратите внимание, что предоставленные наши услуги все еще не проплачены. Кстати, наш счет в банке заблокирован. Отправляю новые реквизиты для перевода суммы - см. вложение. Ждем до конца этой недели проплату, пока пеню не начисляем. Свяжитесь с нами.Список приложенных файлов (1):1. Счет для оплаты .pdfС Уважением к Вам,Игорь Павлов,СРО НП ОПКД" пришло в 1:43 по московскому времени, ткнул без задней мысли на ссылку на приложенный файл "1. Счет для оплаты .pdf" - произошло что-то не понятное, потом уже увидел, что все документы doc, xls, даже файлы автокада dwg, переименовались в doc.vault, xls.vault, dwg.vault и не открываются. ручное переименование не помогает. Выскочил банер, где мошенники дают подробную инструкцию, как им заплатить, чтоб они прислали ПО и ключ для восстановления файлов. Ради спортивного интереса иду на контакт, предлагают пробно 4 файла бесплатно восстановить и то не все, а лиш те, которые на их усмотрение не представляют особой важности. После долгой дискуссии предоставили скриншот очень важного мне xls файла. Кстати стоимость полного восстановления 235 у.е. CollectionLog-2016.06.17-18.31.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 18 июня, 2016 Share Опубликовано 18 июня, 2016 Здравствуйте! Восстановление системы: Отключено - хоть и поздно, но рекомендую включить. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ammemb.dll', ''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\VAULT.hta', ''); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ammemb.dll', '32'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\VAULT.hta', '32'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(1); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на сообщение Поделиться на другие сайты
Vladimir Borischuk 0 Опубликовано 20 июня, 2016 Автор Share Опубликовано 20 июня, 2016 (изменено) сделал всё по инструкции, с адреса newvirus@kaspersky.com было получено автоматическое письмо (KLAN-4478532805) : Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.ammemb.dll,VAULT.htaПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" Подскажите, есть шанс на восстановление моих зашифрованных файлов? Изменено 20 июня, 2016 пользователем Vladimir Borischuk Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 июня, 2016 Share Опубликовано 20 июня, 2016 Подскажите, есть шанс на восстановление моих зашифрованных файлов? Нет Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 21 июня, 2016 Share Опубликовано 21 июня, 2016 , пожалуйста, дополнительно: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Vladimir Borischuk 0 Опубликовано 21 июня, 2016 Автор Share Опубликовано 21 июня, 2016 , пожалуйста, дополнительно: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. ругается, что делать? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 21 июня, 2016 Share Опубликовано 21 июня, 2016 (изменено) Сообщил разработчику. Утилита FRST обновлена. Скачайте заново и соберите логи. Изменено 21 июня, 2016 пользователем Sandor Ссылка на сообщение Поделиться на другие сайты
Vladimir Borischuk 0 Опубликовано 22 июня, 2016 Автор Share Опубликовано 22 июня, 2016 Сообщил разработчику. Утилита FRST обновлена. Скачайте заново и соберите логи. сделал Addition.txt FRST.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 22 июня, 2016 Share Опубликовано 22 июня, 2016 Прокси в Мозилле настраивали самостоятельно? Включите Восстановление системы. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File Toolbar: HKU\S-1-5-21-1801674531-1960408961-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File 2016-06-15 09:32 - 2016-06-15 09:32 - 03458168 _____ C:\Documents and Settings\Admin\Application Data\CONFIRMATION.KEY 2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\VAULT.hta 2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.hta 2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Application Data\VAULT.hta 2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\VAULT.KEY 2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.KEY 2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Application Data\VAULT.KEY Task: C:\WINDOWS\Tasks\MailRuUpdateTask.job => C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe/scheduler C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru HKU\S-1-5-21-1801674531-1960408961-682003330-500\Software\Classes\.scr: scrfile => <===== ATTENTION Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Vladimir Borischuk 0 Опубликовано 4 июля, 2016 Автор Share Опубликовано 4 июля, 2016 Прокси в Мозилле настраивали самостоятельно? Включите Восстановление системы. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File Toolbar: HKU\S-1-5-21-1801674531-1960408961-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File 2016-06-15 09:32 - 2016-06-15 09:32 - 03458168 _____ C:\Documents and Settings\Admin\Application Data\CONFIRMATION.KEY 2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\VAULT.hta 2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.hta 2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Application Data\VAULT.hta 2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\VAULT.KEY 2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.KEY 2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Application Data\VAULT.KEY Task: C:\WINDOWS\Tasks\MailRuUpdateTask.job => C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe/scheduler C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru HKU\S-1-5-21-1801674531-1960408961-682003330-500\Software\Classes\.scr: scrfile => <===== ATTENTION Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Я не силен в компьютерах и в ПО. Возможно что-то когда-то настроил в мозиле, чтобы не мешали картинки с рекламой на разных сайтах (в частности на "Фишках.нет") и то строго по инструкции из интернета )) Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 4 июля, 2016 Share Опубликовано 4 июля, 2016 При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) Версия устарела и не поддерживается. Обновляйтесь до KES10. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти