Алексей Наговицын Опубликовано 8 июля, 2016 Share Опубликовано 8 июля, 2016 (изменено) Добрый день. Как у всех пришло письмо от известного мне отправителя, сомнение только вызвало не точное название организации. Скачал архив, в письме был указан пароль к архиву. Ну, а дальше как у всех открыл и запустил. Пишет не совместимая версия офиса. Вышла какая то тарабарщина. Потом я через некоторое время заметил что появились файлы с расширением vault. У одного из файлов удалил и попробовал открыть, не помогло((( А потом уже полез в инет. На машине стоит avast. Он что то выводил о вредоносной программе, но я это проигнорировал. А жаль. Теперь куча файлов которые он испортил. В процессах нашел странный процесс, его остановил. После этого смог удалить папку куда разархивировал вирус. Проверил машину DrWeb, который бесплатный. Он нашел вредоносную программу и вылечил. На рабочем столе обнаружил два файла vault.key и vault с расширением html. CollectionLog-2016.07.08-12.37.zip Изменено 8 июля, 2016 пользователем Алексей Наговицын Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 8 июля, 2016 Share Опубликовано 8 июля, 2016 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: TuneUp Utilities 2014 Дополнительно: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Алексей Наговицын Опубликовано 8 июля, 2016 Автор Share Опубликовано 8 июля, 2016 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: TuneUp Utilities 2014 Дополнительно: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. Вообще странно работает комп. Скачал экселевский файл с письма, не открывается, а те что были на флешке открывает. Часть архивов не повреждены. Зато папка с картинками для рабочего стола вся зашифрована, но они в автоматическом режиме открываются. Shortcut.txt Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 9 июля, 2016 Share Опубликовано 9 июля, 2016 (изменено) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: IFEO\dw20.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\excel.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\finder.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\infopath.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\msaccess.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\mspscan.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\mspub.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\mspview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\mstore.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\ois.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\osa.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\outlook.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\powerpnt.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\proflwiz.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\schdpl32.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\selfcert.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\setlang.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\snapview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\unbind.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\winword.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" GroupPolicyScripts: Restriction <======= ATTENTION SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV= 2016-07-08 23:07 - 2014-02-08 18:47 - 00000000 ____D C:\Users\zxc\AppData\Roaming\TuneUp Software 2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\Users\Все пользователи\TuneUp Software 2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\ProgramData\TuneUp Software 2016-07-07 23:10 - 2016-07-07 23:10 - 14920968 _____ C:\Users\zxc\AppData\Roaming\CONFIRMATION.KEY 2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 ____H C:\Users\zxc\Desktop\VAULT.hta 2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 _____ C:\Users\zxc\AppData\Roaming\VAULT.hta 2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\Desktop\VAULT.KEY 2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\AppData\Roaming\VAULT.KEY C:\Users\zxc\AppData\Local\Temp\downloader.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Изменено 9 июля, 2016 пользователем Sandor Ссылка на комментарий Поделиться на другие сайты More sharing options...
Алексей Наговицын Опубликовано 10 июля, 2016 Автор Share Опубликовано 10 июля, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: IFEO\dw20.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\excel.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\finder.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\infopath.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\msaccess.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\mspscan.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\mspub.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\mspview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\mstore.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\ois.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\osa.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\outlook.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\powerpnt.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\proflwiz.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\schdpl32.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\selfcert.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\setlang.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\snapview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\unbind.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" IFEO\winword.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe" GroupPolicyScripts: Restriction <======= ATTENTION SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV= 2016-07-08 23:07 - 2014-02-08 18:47 - 00000000 ____D C:\Users\zxc\AppData\Roaming\TuneUp Software 2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\Users\Все пользователи\TuneUp Software 2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\ProgramData\TuneUp Software 2016-07-07 23:10 - 2016-07-07 23:10 - 14920968 _____ C:\Users\zxc\AppData\Roaming\CONFIRMATION.KEY 2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 ____H C:\Users\zxc\Desktop\VAULT.hta 2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 _____ C:\Users\zxc\AppData\Roaming\VAULT.hta 2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\Desktop\VAULT.KEY 2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\AppData\Roaming\VAULT.KEY C:\Users\zxc\AppData\Local\Temp\downloader.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. FRST зависает и провести проверку не получается. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 10 июля, 2016 Share Опубликовано 10 июля, 2016 Выполните в безопасном режиме. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Алексей Наговицын Опубликовано 10 июля, 2016 Автор Share Опубликовано 10 июля, 2016 Выполните в безопасном режиме. Спасибо, помогло. Вот результат. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 10 июля, 2016 Share Опубликовано 10 июля, 2016 С расшифровкой помочь не сможем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Алексей Наговицын Опубликовано 10 июля, 2016 Автор Share Опубликовано 10 июля, 2016 (изменено) С расшифровкой помочь не сможем. Совсем нет ни каких возможностей? Но как то же картинки открываются виджетом. И почему офис перестал работать? И еще возможно ли получить ключ путем сравнения зашифрованного файла и оригинального не поврежденного имя открытый ключ? Изменено 10 июля, 2016 пользователем Алексей Наговицын Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 11 июля, 2016 Share Опубликовано 11 июля, 2016 почему офис перестал работать?Уточните, пожалуйста. Не работает сама программа или не открываются зашифрованные файлы? оригинального не поврежденного имя открытый ключ?Увы, нет. Пожалуйста, для улучшения лечащей утилиты проделайте следующее: Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ClearQuarantine; QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Delete Emualtor.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Install Emulator.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Start Emulator.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Stop Emulator.lnk', ''); QuarantineFile('C:\Program Files (x86)\SentEmul\EmuDel.bat', ''); QuarantineFile('C:\Program Files (x86)\SentEmul\EmuInst.bat', ''); QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStart.bat', ''); QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStop.bat', ''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Алексей Наговицын Опубликовано 11 июля, 2016 Автор Share Опубликовано 11 июля, 2016 (изменено) почему офис перестал работать?Уточните, пожалуйста. Не работает сама программа или не открываются зашифрованные файлы? оригинального не поврежденного имя открытый ключ?Увы, нет. Пожалуйста, для улучшения лечащей утилиты проделайте следующее: Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ClearQuarantine; QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Delete Emualtor.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Install Emulator.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Start Emulator.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Stop Emulator.lnk', ''); QuarantineFile('C:\Program Files (x86)\SentEmul\EmuDel.bat', ''); QuarantineFile('C:\Program Files (x86)\SentEmul\EmuInst.bat', ''); QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStart.bat', ''); QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStop.bat', ''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Стоит два офиса 2007 и 2003. 2003 перестал работать, пишет что не правильно указан путь. А сегодня запустился(((( Изменено 11 июля, 2016 пользователем Алексей Наговицын Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 11 июля, 2016 Share Опубликовано 11 июля, 2016 Спасибо за карантин. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти