vault (lock.bz)

17 сентября, 2016

Добрый день.

Поймали вирус (открыли письмо от знакомого нам спорт клуба). Много файлов получило расширение .vault и не открываются. Есть файлы VAULT.KEY и CONFIRMATION.KEY, созданы вирусом. Есть также зашифрованный документ и оригинал (был на флэш-накопителе).

Есть ли шанс расшифровать файлы?

vault.zip

CollectionLog-2016.09.17-19.28.zip

17 сентября, 2016

Ну вот, в общем-то, и все. Пришло время задуматься над бэкапом для ваших новых файлов.

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DelBHO('{2A5A2A90-3B30-4E6E-A955-2F232C6EF517}');
 DeleteService('wucotusy');
 DeleteService('winzipersvc');
 DeleteService('WdMan');
 DeleteService('rowugoqo');
 DeleteFile('C:\Program Files\Win32_ComputerSystemProduct-1458119236---\hnsb45D.tmp','32');
 DeleteFile('C:\Documents and Settings\Юрист\Local Settings\Application Data\ospd_us_013010129\upospd_us_013010129.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upospd_us_013010129.exe');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{07EEA91B-1159-4659-98BD-B957E9F88902}.exe','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Kometa\kometaup.exe','32');
 DeleteFile('C:\Program Files\Tepfel\WebCakeIEClient.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\ASC8_PerformanceMonitor.job','32');
 DeleteFile('C:\WINDOWS\Tasks\H3CnyQGJKeo.job','32');
 DeleteFile('C:\WINDOWS\Tasks\nethost task.job','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\SystemDir\nethost.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\RdZ7YurfFgeYKx.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Soft installer.job','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Hostinstaller\3760867150_monster.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\SystemMonitor2016.job','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\SystemMonitor2016\3760867150.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

18 сентября, 2016

Скрипт выполнен, AdwCleaner отработал.

AdwCleanerS0.txt

18 сентября, 2016

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

18 сентября, 2016

Выполнено.

AdwCleanerC0.txt

AdwCleanerS1.txt

18 сентября, 2016

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

19 сентября, 2016

Результат работы программы

FRST.txt

Addition.txt

19 сентября, 2016

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:

CloseProcesses:

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

CHR HKU\S-1-5-21-1343024091-1500820517-1417001333-1004\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

CHR Extension: (Smart Browser) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Google\Chrome\User Data\DFLTUSER\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-06-09]

CHR Extension: (SaveYouTime) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Google\Chrome\User Data\DFLTUSER\Extensions\ghcdaheihefjaiihlegkggmmanbakmge [2016-03-19]

CHR Extension: (Пульт) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Google\Chrome\User Data\DFLTUSER\Extensions\jedpddonjeogeldhkkbpdachllhdfknk [2016-03-17]

CHR Extension: (No Name) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Download Experience\Component [2016-03-24]

CHR HKLM\...\Chrome\Extension: [jedpddonjeogeldhkkbpdachllhdfknk] - hxxps://clients2.google.com/service/update2/crx

2016-03-24 23:01 - 2016-03-24 23:01 - 0114394 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\EpfwWfpR.inf

2015-04-19 18:20 - 2016-04-21 20:45 - 0000626 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\H3CnyQGJKeo

2016-03-24 23:01 - 2016-03-24 23:01 - 0001557 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\LawsuitDiplomaWhirligig

2015-04-24 09:24 - 2015-06-09 09:58 - 0000000 ____C () C:\Documents and Settings\Оксана Николаевна\Application Data\smw_inst

2014-10-07 10:39 - 2014-10-07 10:39 - 0011264 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\System.dll

2013-08-19 19:11 - 2014-02-03 00:11 - 0000235 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\WB.CFG

2013-08-19 19:11 - 2014-02-01 12:17 - 0000005 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\WBPU-TTL.DAT

MSCONFIG\startupreg: AppDownloads =>

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

20 сентября, 2016

Создал только fixlog.txt

Fixlog.txt

20 сентября, 2016

С расшифровкой не поможем

vault (lock.bz)

Рекомендуемые сообщения

FragMIR

mike 1

FragMIR

mike 1

FragMIR

mike 1

FragMIR

mike 1

FragMIR

mike 1

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum