Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

Поймали вирус (открыли письмо от знакомого нам спорт клуба). Много файлов получило расширение .vault и не открываются. Есть файлы VAULT.KEY и CONFIRMATION.KEY, созданы вирусом. Есть также зашифрованный документ и оригинал (был на флэш-накопителе).

Есть ли шанс расшифровать файлы?

vault.zip

CollectionLog-2016.09.17-19.28.zip

Ссылка на комментарий
Поделиться на другие сайты

Ну вот, в общем-то, и все. Пришло время задуматься над бэкапом для ваших новых файлов.

 

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 DelBHO('{2A5A2A90-3B30-4E6E-A955-2F232C6EF517}');
 DeleteService('wucotusy');
 DeleteService('winzipersvc');
 DeleteService('WdMan');
 DeleteService('rowugoqo');
 DeleteFile('C:\Program Files\Win32_ComputerSystemProduct-1458119236---\hnsb45D.tmp','32');
 DeleteFile('C:\Documents and Settings\Юрист\Local Settings\Application Data\ospd_us_013010129\upospd_us_013010129.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upospd_us_013010129.exe');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{07EEA91B-1159-4659-98BD-B957E9F88902}.exe','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Kometa\kometaup.exe','32');
 DeleteFile('C:\Program Files\Tepfel\WebCakeIEClient.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\ASC8_PerformanceMonitor.job','32');
 DeleteFile('C:\WINDOWS\Tasks\H3CnyQGJKeo.job','32');
 DeleteFile('C:\WINDOWS\Tasks\nethost task.job','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\SystemDir\nethost.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\RdZ7YurfFgeYKx.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Soft installer.job','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Hostinstaller\3760867150_monster.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\SystemMonitor2016.job','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\SystemMonitor2016\3760867150.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 
 

 

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты


Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  •  



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1343024091-1500820517-1417001333-1004\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (Smart Browser) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Google\Chrome\User Data\DFLTUSER\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-06-09]
CHR Extension: (SaveYouTime) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Google\Chrome\User Data\DFLTUSER\Extensions\ghcdaheihefjaiihlegkggmmanbakmge [2016-03-19]
CHR Extension: (Пульт) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Google\Chrome\User Data\DFLTUSER\Extensions\jedpddonjeogeldhkkbpdachllhdfknk [2016-03-17]
CHR Extension: (No Name) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Download Experience\Component [2016-03-24]
CHR HKLM\...\Chrome\Extension: [jedpddonjeogeldhkkbpdachllhdfknk] - hxxps://clients2.google.com/service/update2/crx
2016-03-24 23:01 - 2016-03-24 23:01 - 0114394 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\EpfwWfpR.inf
2015-04-19 18:20 - 2016-04-21 20:45 - 0000626 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\H3CnyQGJKeo
2016-03-24 23:01 - 2016-03-24 23:01 - 0001557 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\LawsuitDiplomaWhirligig
2015-04-24 09:24 - 2015-06-09 09:58 - 0000000 ____C () C:\Documents and Settings\Оксана Николаевна\Application Data\smw_inst
2014-10-07 10:39 - 2014-10-07 10:39 - 0011264 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\System.dll
2013-08-19 19:11 - 2014-02-03 00:11 - 0000235 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\WB.CFG
2013-08-19 19:11 - 2014-02-01 12:17 - 0000005 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\WBPU-TTL.DAT
MSCONFIG\startupreg: AppDownloads => 



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Tyson
      От Tyson
      Всем добрый день! 
       
      Начал постигать все "прелести" полнодискового шифрования касперского и столкнулся с проблемой, когда при загрузке Агента аутентификации не работают либо клавиатура, либо тачпад/мышь (к счастью одновременно пока не попадалось) и если без мыши еще обойтись как-то можно, то без клавиатуры тяжеловато, особенно для рядовых пользователей. С поддержкой контакт держим уже почти месяц, но результатов пока никаких... Может есть кто сталкивался с подобной проблемой? Удавалось ли её решить?
    • I_CaR
      От I_CaR
      Знаю AnyDesk из него ни чего нельзя нажать такого, что под защитой - Dr*eb, Касперского и т.п. и это вроде хорошо, что программы так себя защитили.
      Но почему на дворе 23-ий год третьего тысячелетия, нейронные сети, ИИ, но вот ПО по защите данных (антивирус Касперского) отключается парой скриптов от злоумышленников даже RDP?
      Зачем вообще платить за такой продукт?
      Есть ли смысл?
      Как показывает многолетняя практика, те вирусы, которые не убивают компьютер лечатся постфактум, даже если на ПК не было установлено антивирусное ПО. А вот те вирусы, что убивают ПК полностью - и не лечатся и спокойно проходят защиту от Касперского.
      И? И зачем тогда такое антивирусное ПО?
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в борьбе с шифровальщиками-вымогателями  
    • Anton Aralov
      От Anton Aralov
      Взломали 11 компьютеров в сети.
      1) на большинстве машин не было админских прав
      2) пароль админа достаточно сложный для взлома( 12 знаков, цифры буквы символы)
      3) Шифровальщик удалил касперского со всех машин где он присутствовал.
      FRST.zip пример файлов.zip
    • l0l0l0zh
      От l0l0l0zh
      Добрый день
      Для получения доступа к жесткому диску захожу в веб-консоль и нажимаю "Предоставить доступ к устройству в автономном режим" на MacOS
      Появляется окошко, где выбрана версия постоянной защиты, нажимаю снова "Получить ключ восстановления" и ничего не происходит, ключ не отображается

    • Elly
      От Elly
      Друзья!
       
      Фан-клуб «Лаборатории Касперского» продолжает свое развитие. Сегодня мы бы хотели обратить внимание на самое ценное на нашем форуме - на Вас, дорогие пользователи. Чтобы наши новые участники форума стали знакомыми, знакомые — друзьями, а друзья — большой дружной семьёй, предлагаем вам конкурс "зашифрованных никнеймов".

      Правила конкурса
      Каждый участник конкурса может представить на конкурс одну работу, в которой должен быть зашифрован собственный никнейм пользователя и одну дополнительную работу, содержащую зашифрованный никнейм другого участника форума;  Конкурсная работа должна быть выполнена в виде изображения или иного файла, в котором зашифрован никнейм участника форума. В отправляемом сообщении должна указываться методика шифрования, дешифрования и верный ответ на загаданный никнейм; Ответ на вашу работу должен быть однозначным и точно совпадать вплоть до каждого символа с никнеймом загаданного участника; Зашифрованные никнеймы, которые присылаются в качестве дополнительных работ, должны принадлежать участникам форума с группой "Активисты" и выше (группы вы видите под аватаркой) за исключением групп «Забаненные», «Новички», «Участники»;   На конкурс предоставляется работа, созданная участником данного конкурса самостоятельно; Конкурсную работу необходимо отправлять личным сообщением пользователю @oit (пользователя @Elly включать в копию адресатов); Конкурсная работа не должна быть опубликована где-либо ранее, чем на этот конкурс; Конкурсная работа в виде изображения не должна превышать размер 4096 × 3072px.; размер конкурсной работы в ином формате (например, видео) не должен превышать 100 мб. При необходимости допускается загрузка видеофайлов на сторонние хостинги с приведением прямой ссылки на файл в личном сообщении; Участники конкурса не должны открыто публиковать свои работы в течение 3х месяцев с даты окончания данного конкурса и соглашаются на использование их работ по усмотрению администрации фан-клуба в будущем, в т.ч. и в любых викторинах; Любая конкурсная работа не должна нарушать Правила форума.  
      Конкурс проводится до 20:00 28 апреля 2021 года (время московское).
      Принять участие в нем могут все зарегистрированные пользователи форума фан-клуба «Лаборатории Касперского», кроме его организаторов.
      Пример работы представлен ниже. Мы призываем вас проявить творческий подход и не ограничиваться форматом, приведенном в примере.
       

      Награждение и призовой фонд
      Члены жюри из всех представленных конкурсных работ выберут 5 (в случае количества поданных работ более 10) или 3 (в случае количества поданных работ менее 10) самых достойных работ.
       
      Работы будут распределены по следующим призовым местам:
      Приз за 1е место - 1 500 баллов
      Приз за 2е место - 1 200 баллов
      Приз за 3е место - 1 000 баллов
      Приз за 4е место - 700 баллов
      Приз за 5е место - 500 баллов

      Участники конкурса, ни одна из работ которых не попадет в число призовых, в качестве поощрительного приза получат 250 баллов.
       
      Для получения призовых баллов участнику необходимо иметь на форуме не менее 25 сообщений в разделах с включённым счётчиком сообщений на момент завершения проведения конкурса.

      Итоги конкурса будут подведены в течение десяти дней с момента его окончания. Баллы будут начислены в течение двадцати дней с момента опубликования итогов конкурса.
       
      Все вопросы, связанные с корректностью проведения конкурса, необходимо отправлять @Elly (с обязательным включением пользователей @Mrak, @oit в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов конкурса и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.
       
      Вопросы по конкурсу принимаются только через личные сообщения в течение срока проведения конкурса и не позднее трёх дней после завершения приема работ (время московское). Ответы направляются представителем от организаторов конкурса через личные сообщения в рамках созданной переписки.
       
      Администрация, официально уведомив, может в любой момент внести изменения в правила конкурса, перезапустить или вовсе прекратить его проведение, а также отказать участнику в получении приза в случае выявления фактов его недобросовестного участия в нем и/или нарушения правил конкурса. Любые вопросы, связанные с конкурсом, в том числе и по начислению баллов, принимаются в течение 30 дней с момента подведения его итогов.

      Участие в конкурсе означает безоговорочное согласие с настоящими правилами.
       
      Удачи!
       
×
×
  • Создать...