Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

Поймали вирус (открыли письмо от знакомого нам спорт клуба). Много файлов получило расширение .vault и не открываются. Есть файлы VAULT.KEY и CONFIRMATION.KEY, созданы вирусом. Есть также зашифрованный документ и оригинал (был на флэш-накопителе).

Есть ли шанс расшифровать файлы?

vault.zip

CollectionLog-2016.09.17-19.28.zip

Ссылка на сообщение
Поделиться на другие сайты

Ну вот, в общем-то, и все. Пришло время задуматься над бэкапом для ваших новых файлов.

 

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 DelBHO('{2A5A2A90-3B30-4E6E-A955-2F232C6EF517}');
 DeleteService('wucotusy');
 DeleteService('winzipersvc');
 DeleteService('WdMan');
 DeleteService('rowugoqo');
 DeleteFile('C:\Program Files\Win32_ComputerSystemProduct-1458119236---\hnsb45D.tmp','32');
 DeleteFile('C:\Documents and Settings\Юрист\Local Settings\Application Data\ospd_us_013010129\upospd_us_013010129.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upospd_us_013010129.exe');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{07EEA91B-1159-4659-98BD-B957E9F88902}.exe','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Kometa\kometaup.exe','32');
 DeleteFile('C:\Program Files\Tepfel\WebCakeIEClient.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\ASC8_PerformanceMonitor.job','32');
 DeleteFile('C:\WINDOWS\Tasks\H3CnyQGJKeo.job','32');
 DeleteFile('C:\WINDOWS\Tasks\nethost task.job','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\SystemDir\nethost.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\RdZ7YurfFgeYKx.job','32');
 DeleteFile('C:\WINDOWS\Tasks\Soft installer.job','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Hostinstaller\3760867150_monster.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\SystemMonitor2016.job','32');
 DeleteFile('C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\SystemMonitor2016\3760867150.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 
 

 

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  •  



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1343024091-1500820517-1417001333-1004\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (Smart Browser) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Google\Chrome\User Data\DFLTUSER\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-06-09]
CHR Extension: (SaveYouTime) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Google\Chrome\User Data\DFLTUSER\Extensions\ghcdaheihefjaiihlegkggmmanbakmge [2016-03-19]
CHR Extension: (Пульт) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Google\Chrome\User Data\DFLTUSER\Extensions\jedpddonjeogeldhkkbpdachllhdfknk [2016-03-17]
CHR Extension: (No Name) - C:\Documents and Settings\Оксана Николаевна\Local Settings\Application Data\Download Experience\Component [2016-03-24]
CHR HKLM\...\Chrome\Extension: [jedpddonjeogeldhkkbpdachllhdfknk] - hxxps://clients2.google.com/service/update2/crx
2016-03-24 23:01 - 2016-03-24 23:01 - 0114394 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\EpfwWfpR.inf
2015-04-19 18:20 - 2016-04-21 20:45 - 0000626 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\H3CnyQGJKeo
2016-03-24 23:01 - 2016-03-24 23:01 - 0001557 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\LawsuitDiplomaWhirligig
2015-04-24 09:24 - 2015-06-09 09:58 - 0000000 ____C () C:\Documents and Settings\Оксана Николаевна\Application Data\smw_inst
2014-10-07 10:39 - 2014-10-07 10:39 - 0011264 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\System.dll
2013-08-19 19:11 - 2014-02-03 00:11 - 0000235 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\WB.CFG
2013-08-19 19:11 - 2014-02-01 12:17 - 0000005 _____ () C:\Documents and Settings\Оксана Николаевна\Application Data\WBPU-TTL.DAT
MSCONFIG\startupreg: AppDownloads => 



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Elly
      Друзья!
       
      Фан-клуб «Лаборатории Касперского» продолжает свое развитие. Сегодня мы бы хотели обратить внимание на самое ценное на нашем форуме - на Вас, дорогие пользователи. Чтобы наши новые участники форума стали знакомыми, знакомые — друзьями, а друзья — большой дружной семьёй, предлагаем вам конкурс "зашифрованных никнеймов".

      Правила конкурса
      Каждый участник конкурса может представить на конкурс одну работу, в которой должен быть зашифрован собственный никнейм пользователя и одну дополнительную работу, содержащую зашифрованный никнейм другого участника форума;  Конкурсная работа должна быть выполнена в виде изображения или иного файла, в котором зашифрован никнейм участника форума. В отправляемом сообщении должна указываться методика шифрования, дешифрования и верный ответ на загаданный никнейм; Ответ на вашу работу должен быть однозначным и точно совпадать вплоть до каждого символа с никнеймом загаданного участника; Зашифрованные никнеймы, которые присылаются в качестве дополнительных работ, должны принадлежать участникам форума с группой "Активисты" и выше (группы вы видите под аватаркой) за исключением групп «Забаненные», «Новички», «Участники»;   На конкурс предоставляется работа, созданная участником данного конкурса самостоятельно; Конкурсную работу необходимо отправлять личным сообщением пользователю @oit (пользователя @Elly включать в копию адресатов); Конкурсная работа не должна быть опубликована где-либо ранее, чем на этот конкурс; Конкурсная работа в виде изображения не должна превышать размер 4096 × 3072px.; размер конкурсной работы в ином формате (например, видео) не должен превышать 100 мб. При необходимости допускается загрузка видеофайлов на сторонние хостинги с приведением прямой ссылки на файл в личном сообщении; Участники конкурса не должны открыто публиковать свои работы в течение 3х месяцев с даты окончания данного конкурса и соглашаются на использование их работ по усмотрению администрации фан-клуба в будущем, в т.ч. и в любых викторинах; Любая конкурсная работа не должна нарушать Правила форума.  
      Конкурс проводится до 20:00 28 апреля 2021 года (время московское).
      Принять участие в нем могут все зарегистрированные пользователи форума фан-клуба «Лаборатории Касперского», кроме его организаторов.
      Пример работы представлен ниже. Мы призываем вас проявить творческий подход и не ограничиваться форматом, приведенном в примере.
       

      Награждение и призовой фонд
      Члены жюри из всех представленных конкурсных работ выберут 5 (в случае количества поданных работ более 10) или 3 (в случае количества поданных работ менее 10) самых достойных работ.
       
      Работы будут распределены по следующим призовым местам:
      Приз за 1е место - 1 500 баллов
      Приз за 2е место - 1 200 баллов
      Приз за 3е место - 1 000 баллов
      Приз за 4е место - 700 баллов
      Приз за 5е место - 500 баллов

      Участники конкурса, ни одна из работ которых не попадет в число призовых, в качестве поощрительного приза получат 250 баллов.
       
      Для получения призовых баллов участнику необходимо иметь на форуме не менее 25 сообщений в разделах с включённым счётчиком сообщений на момент завершения проведения конкурса.

      Итоги конкурса будут подведены в течение десяти дней с момента его окончания. Баллы будут начислены в течение двадцати дней с момента опубликования итогов конкурса.
       
      Все вопросы, связанные с корректностью проведения конкурса, необходимо отправлять @Elly (с обязательным включением пользователей @Mrak, @oit в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов конкурса и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.
       
      Вопросы по конкурсу принимаются только через личные сообщения в течение срока проведения конкурса и не позднее трёх дней после завершения приема работ (время московское). Ответы направляются представителем от организаторов конкурса через личные сообщения в рамках созданной переписки.
       
      Администрация, официально уведомив, может в любой момент внести изменения в правила конкурса, перезапустить или вовсе прекратить его проведение, а также отказать участнику в получении приза в случае выявления фактов его недобросовестного участия в нем и/или нарушения правил конкурса. Любые вопросы, связанные с конкурсом, в том числе и по начислению баллов, принимаются в течение 30 дней с момента подведения его итогов.

      Участие в конкурсе означает безоговорочное согласие с настоящими правилами.
       
      Удачи!
       
    • От Константин_Д
      Всем привет!

      Прошу помощи в решении головоломки - не могу понять в чем дело.

      Залез в архив файлов, которые не открывал много лет, и не могу открыть многие из них.
      Файлы разных типов: *.doc, *.xls, *.jpg, *.zip, *.txt и др. - все они не распознаются по формату соответствующими приложениями.
      Начал сравнивать их с другими, работающими файлами и заметил что у битых совершенно другое содержимое - и заголовок и тело совсем другие, не похожие на рабочие, но похожие на другие битые.

      Во вложение добавил несколько битых файлов трех групп, по общности заголовков файлов и один рабочий для сравнения.

      Пока у меня только одна догадка - файлы зашифрованы шифровальщиком. Но тогда как понять каким и как расшифровать?
       
      Примеры.zip
    • От Drawen
      Здравствуйте. На сетевых папках с открытым полным доступом обнаружились зашифрованные файлы вида price.xls.id-B8E48228.[bitcoin1@foxmail.com].harma. Зараженный компьютер пока обнаружить не удалось (в сети порядка 50 пк). Шифрование происходит постепенно и нерегулярно - в одной папке могут зашифроваться все файлы, в другой - один-два. Пример зашифрованного файла прилагаю. Очень надеюсь на Вашу помощь. 
      price.xls.id-B8E48228.bitcoin1@foxmail.com.zip
    • От tolevich
      Здравствуйте, сегодня зашел на сервер по RDP а там все файлы зашифрованы и имеют расширение .harma, прилагаю файл от  Farbar Recovery Scan Tool Прошу помочь с решением данной проблемы
       
      FRST.txt
      CollectionLog-2020.01.21-10.15.zip
    • От Alexioq
      Здравствуйте.
       
      Зашифровались вчера все файлы с расширением .btc#
      Из-за чего зашифровались не известно. Во вложении письма зашифрованные файлы.
       
      Архив "virus.7z" - пароль: virus
      Архив "зашифрованные файлы.7z" - пароль: 12345
      Как расшифровать файлы btc#.TXT
      зашифрованные файлы.7z
      virus.7z
      Addition.txt
      FRST.txt
×
×
  • Создать...