Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. Прощу помощи в бухгалтерии один их бухгалтеров открыл файл с "долгом" по оплате. Теперь часть файлов заблокировалось. Если возможно прощу помочь с расшифровкой.

CollectionLog-2016.09.26-15.55.zip

Ссылка на сообщение
Поделиться на другие сайты
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\WINDOWS\system32\IE4Data\IE4Data.lnk','');
 QuarantineFileF('C:\WINDOWS\system32\IE4Data', '*', true, ' ', 0, 0);
 DeleteFile('C:\WINDOWS\system32\IE4Data\IE4Data.lnk','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','IE4Data');
 DeleteFile('C:\Documents and Settings\buh13\Главное меню\Программы\Автозагрузка\VAULT.hta','32');
ExecuteSysClean;
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

2015-11-09 10:13 - 2015-11-09 10:13 - 0004292 _____ () C:\Documents and Settings\buh13\Application Data\VAULT.hta

2015-11-09 10:13 - 2015-11-09 10:13 - 0001589 _____ () C:\Documents and Settings\buh13\Application Data\VAULT.KEY

 

Ну что тут сказать? Я пониманию один раз поймать, но два раза одно и то же поймать - это нужно постараться. Если люди не способны сделать соответствующие выводы, то это уже видимо диагноз. Когда думать будете?

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
2016-09-22 13:39 - 2016-09-22 13:39 - 00005004 ____N C:\Documents and Settings\buh13\Рабочий стол\VAULT.hta
2016-09-22 13:39 - 2016-09-22 13:39 - 00005004 _____ C:\VAULT.hta
2016-09-22 13:39 - 2016-09-22 13:39 - 00001603 _____ C:\VAULT.KEY
2016-09-22 13:39 - 2015-11-09 10:13 - 00662930 _____ C:\Documents and Settings\buh13\Application Data\CONFIRMATION.KEY
2015-11-09 10:13 - 2015-11-09 10:13 - 0004292 _____ () C:\Documents and Settings\buh13\Application Data\VAULT.hta
2015-11-09 10:13 - 2015-11-09 10:13 - 0001589 _____ () C:\Documents and Settings\buh13\Application Data\VAULT.KEY
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
С расшифровкой не поможем. Расшифровка vault есть только у авторов шифровальщика.
Ссылка на сообщение
Поделиться на другие сайты

 

buh13 (S-1-5-21-606747145-1482476501-682003330-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\buh13

Не подскажите, почему бухгалтер сидит с правами админа? Обычные пользователи не должны ими обладать. 

Ссылка на сообщение
Поделиться на другие сайты

Подскажу т.к нам из министерства дали софт для бухгалтером и он по рекомендации должен работать на компах где даны права администратора пользователям для своей корректной работы. 

Ссылка на сообщение
Поделиться на другие сайты

Я общался с разработчиками. Официально получил отказ в самостоятельной доработке,до настройки программы.
На практике когда я давал права как обычному пользователю.Происходил обычно неожиданный сбои программы или ее завершение (обычно все ошибки на чтение-запись файла, обращение к файлам)

Когда я дал уровень прав админа. программа стала стабильней. 

Ссылка на сообщение
Поделиться на другие сайты

А если программу запускать из под ограниченного пользователя, но через контекстное меню проводника от имени Администратора?

Ссылка на сообщение
Поделиться на другие сайты

Хороший вариант попробую. Я правильно я понял что Вы не возьметесь за расшифровку т.к у нас действующей лицензии Касперского  на данном компьютере?(1 лицензия каспер. на сервере есть)

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...