Spanden Опубликовано 19 июля, 2016 Опубликовано 19 июля, 2016 Здравствуйте. Прошу помощи с шифровальщиком .vault CollectionLog-2016.07.19-11.28.zip
SQ Опубликовано 19 июля, 2016 Опубликовано 19 июля, 2016 Здравствуйте, AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Program Files (x86)\Common Files\2B4FEA90-0C80-4AC2-A413-D8F0C600AFA8\7B858EE3-5AFD-43C3-B1E4-1AC4653322A0.exe',''); QuarantineFile('C:\Program Files (x86)\Digt\Trusted\Desktop\ShellExtention.dll',''); QuarantineFile('C:\Program Files\contentprotector\condefclean.exe',''); QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe',''); QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe',''); QuarantineFile('C:\Program Files\contentprotector\contentprotectordrv.sys',''); QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe',''); QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe',''); QuarantineFile('C:\Program Files\contentprotector\nss\mozcrt19.dll',''); QuarantineFile('C:\Program Files\contentprotector\nss\nspr4.dll',''); QuarantineFile('C:\Program Files\contentprotector\nss\nss3.dll',''); QuarantineFile('C:\Program Files\contentprotector\nss\plc4.dll',''); QuarantineFile('C:\Program Files\contentprotector\nss\plds4.dll',''); QuarantineFile('C:\Program Files\contentprotector\nss\smime3.dll',''); QuarantineFile('C:\Program Files\contentprotector\nss\softokn3.dll',''); QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe',''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta',''); QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys',''); QuarantineFile('C:\Windows\WinSxS\x86_cifrovietehnologii.trustedtls.crypto_a9b3f42962e3aa3a_3.0.0.609_none_6ae69a91ec089076\LIBEAY32.dll',''); DeleteFile('C:\Program Files (x86)\Common Files\2B4FEA90-0C80-4AC2-A413-D8F0C600AFA8\7B858EE3-5AFD-43C3-B1E4-1AC4653322A0.exe','32'); DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32'); DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32'); DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32'); DeleteFile('C:\Program Files\contentprotector\contentprotectordrv.sys','32'); DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32'); DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32'); DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32'); DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32'); DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteRepair(4); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Подготовьте лог AdwCleaner и приложите его в теме.
Spanden Опубликовано 19 июля, 2016 Автор Опубликовано 19 июля, 2016 [KLAN-4706741451] Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. ShellExtention.dll, conprotsetup.exe, VAULT.hta, LIBEAY32.dll Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию. condefclean.exe, contentprotectorconrol.exe, import_root_cert.exe, certutil.exe, mozcrt19.dll, nspr4.dll, nss3.dll, plc4.dll, plds4.dll, smime3.dll, softokn3.dll - not-a-virus:NetTool.Win64.NetFilter.jd contentprotectordrv.sys - not-a-virus:NetTool.Win64.NetFilter.lf Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление. AdwCleanerS1.txt
SQ Опубликовано 21 июля, 2016 Опубликовано 21 июля, 2016 - Подготовьте новый лог AdwCleaner и приложите его в теме.
SQ Опубликовано 21 июля, 2016 Опубликовано 21 июля, 2016 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
SQ Опубликовано 21 июля, 2016 Опубликовано 21 июля, 2016 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
SQ Опубликовано 21 июля, 2016 Опубликовано 21 июля, 2016 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found 2016-07-19 09:27 - 2016-07-19 09:27 - 06667192 _____ C:\Users\User\AppData\Roaming\CONFIRMATION.KEY 2016-07-19 09:27 - 2016-07-19 09:27 - 00004097 ____N C:\Users\User\Desktop\VAULT.hta 2016-07-19 09:27 - 2016-07-19 09:27 - 00004097 _____ C:\VAULT.hta 2016-07-19 09:27 - 2016-07-19 09:27 - 00004097 _____ C:\Users\User\AppData\Roaming\VAULT.hta 2016-07-19 09:27 - 2016-07-19 09:27 - 00001585 _____ C:\VAULT.KEY 2016-07-19 09:27 - 2016-07-19 09:27 - 00001585 _____ C:\Users\User\Desktop\VAULT.KEY 2016-07-19 09:27 - 2016-07-19 09:27 - 00001585 _____ C:\Users\User\AppData\Roaming\VAULT.KEY 2016-07-19 09:27 - 2016-07-19 09:27 - 6667192 _____ () C:\Users\User\AppData\Roaming\CONFIRMATION.KEY 2015-04-19 17:20 - 2015-04-19 17:20 - 0005872 _____ () C:\Users\User\AppData\Roaming\HyT5aup97 2015-11-19 15:04 - 2015-11-19 15:04 - 0000000 _____ () C:\Users\User\AppData\Roaming\smw_inst 2016-07-19 09:27 - 2016-07-19 09:27 - 0004097 _____ () C:\Users\User\AppData\Roaming\VAULT.hta 2016-07-19 09:27 - 2016-07-19 09:27 - 0001585 _____ () C:\Users\User\AppData\Roaming\VAULT.KEY C:\Users\User\AppData\Local\Temp\condefclean.exe File: C:\Users\User\2e668757-eddd-44b5-a4f8-dbe0ce1e238f_nativecryptolib_x86.dll Task: {0B7FC337-9D80-4A0A-9789-AD6FFFF110A4} - \Microsoft\Windows\EB41FE6E-7CA3-409C-84A6-E0F0D4AC584A -> No File <==== ATTENTION Task: {3D684130-A16E-408B-82E3-D8E7D4C13746} - \Microsoft\Windows\AEB41FE6E-7CA3-409C-84A6-E0F0D4AC584A -> No File <==== ATTENTION Task: {597ADC58-F5E5-4903-8407-C0C8A0E7310A} - \SafeBrowser -> No File <==== ATTENTION Task: {A3113888-D4B1-4E31-9046-CE8BCF0881B0} - \extsetup -> No File <==== ATTENTION Task: {B0C77EEE-8AA0-467E-972F-565CCF6565AB} - \KRB Updater Utility -> No File <==== ATTENTION [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_en_77] Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
SQ Опубликовано 22 июля, 2016 Опубликовано 22 июля, 2016 Если есть лицензия на продукты Лаборатории Касперского пробуйте - http://forum.kasperskyclub.ru/index.php?showtopic=48525(но гарантий нет, что смогут помочь) P.S. Пока не решите вопрос с расшифровкой не удаляйте каталог C:\FRST
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти