vault (lock.bz)

[FragMIR]

Добрый день.

Поймали вирус (открыли письмо от знакомого нам спорт клуба). Много файлов получило расширение .vault и не открываются. Есть файлы VAULT.KEY и CONFIRMATION.KEY, созданы вирусом. Есть также зашифрованный документ и оригинал (был на флэш-накопителе).

Есть ли шанс расшифровать файлы?

vault.zip

CollectionLog-2016.09.17-19.28.zip

[mike 1]

Ну вот, в общем-то, и все. Пришло время задуматься над бэкапом для ваших новых файлов.

 

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 DelBHO('{2A5A2A90-3B30-4E6E-A955-2F232C6EF517}');
 DeleteService('wucotusy');
 DeleteService('winzipersvc');
 DeleteService('WdMan');
 DeleteService('rowugoqo');
 DeleteFile('C:\Program Files\Win32_ComputerSystemProduct-1458119236---\hnsb45D.tmp','32');
 DeleteFile('C:\Documents and Settings\Юрист\Local Settings\Application Data\ospd_us_013010129\upospd_us_013010129.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upospd_us_013010129.exe');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{07EEA91B-1159-4659-98BD-B957E9F88902}.exe','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Kometa\kometaup.exe','32');
 DeleteFile('C:\Program Files\Tepfel\WebCakeIEClient.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\ASC8_PerformanceMonitor.job','32');
 DeleteFile('C:\WINDOWS\Tasks\H3CnyQGJKeo.job','32');
 DeleteFile('C:\WINDOWS\Tasks\nethost task.job','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\SystemDir\nethost.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\RdZ7YurfFgeYKx.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Soft installer.job','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Hostinstaller\3760867150_monster.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\SystemMonitor2016.job','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\SystemMonitor2016\3760867150.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[FragMIR]

Скрипт выполнен, AdwCleaner отработал.

AdwCleanerS0.txt

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[FragMIR]

Выполнено.

AdwCleanerC0.txt

AdwCleanerS1.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[FragMIR]

Результат работы программы

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

•  
  

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

CHR HKU\S-1-5-21-1343024091-1500820517-1417001333-1004\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

CHR Extension: (Smart Browser) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Google\Chrome\User Data\DFLTUSER\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-06-09]

CHR Extension: (SaveYouTime) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Google\Chrome\User Data\DFLTUSER\Extensions\ghcdaheihefjaiihlegkggmmanbakmge [2016-03-19]

CHR Extension: (Пульт) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Google\Chrome\User Data\DFLTUSER\Extensions\jedpddonjeogeldhkkbpdachllhdfknk [2016-03-17]

CHR Extension: (No Name) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Download Experience\Component [2016-03-24]

CHR HKLM\...\Chrome\Extension: [jedpddonjeogeldhkkbpdachllhdfknk] - hxxps://clients2.google.com/service/update2/crx

2016-03-24 23:01 - 2016-03-24 23:01 - 0114394 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\EpfwWfpR.inf

2015-04-19 18:20 - 2016-04-21 20:45 - 0000626 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\H3CnyQGJKeo

2016-03-24 23:01 - 2016-03-24 23:01 - 0001557 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\LawsuitDiplomaWhirligig

2015-04-24 09:24 - 2015-06-09 09:58 - 0000000 ____C () C:\Documents and Settings\Оксана Николаевна\Application Data\smw_inst

2014-10-07 10:39 - 2014-10-07 10:39 - 0011264 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\System.dll

2013-08-19 19:11 - 2014-02-03 00:11 - 0000235 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\WB.CFG

2013-08-19 19:11 - 2014-02-01 12:17 - 0000005 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\WBPU-TTL.DAT

MSCONFIG\startupreg: AppDownloads => 

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[FragMIR]

Создал  только fixlog.txt

Fixlog.txt

[mike 1]

С расшифровкой не поможем