Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Зашифрованы файлы расширение vault

sergey_2201
 Поделиться

Рекомендуемые сообщения

sergey_2201

sergey_2201

Опубликовано
Опубликовано (изменено)

Добрый день! [/size]

На днях пришло письмо на электронную почту письмо c якобы[/size] [/size]каким-то актом сверки, соответственно не глянул и запустил его. Через некоторое время появилась заставка с требованием заплатить за расшифровку файлов. Посмотрите насколько возможна расшифровка файлов данным вирусом шифровальщиком. [/size]

Заранее спасибо[/size]

CollectionLog-2016.12.19-15.28.zip

Изменено пользователем Sandor
Убрал подозрительный файл
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Ask Toolbar

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(10);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-943858745-2068519650-408276090-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-943858745-2068519650-408276090-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-12-13 08:52 - 2016-12-13 08:52 - 02110434 _____ C:\Users\ГУРА\AppData\Roaming\CONFIRMATION.KEY
2016-12-13 08:52 - 2016-12-13 08:52 - 00001611 _____ C:\Users\ГУРА\Desktop\VAULT.KEY
2016-12-13 08:52 - 2016-12-13 08:52 - 00001611 _____ C:\Users\ГУРА\AppData\Roaming\VAULT.KEY
Task: {136B07B4-3F79-4703-B85D-5A88D80563E0} - \{5B5C716F-6D6B-4525-9472-B80D4A4D6B26} -> No File <==== ATTENTION
Task: {2A33A58E-4D7C-4156-9E5C-5ACA6B7FB6D4} - \{3A82717E-FD27-4D1D-805D-EC7566969A2B} -> No File <==== ATTENTION
Task: {B6291653-0E55-4CAA-9FF9-88F03D0C2096} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2013-04-01] () <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Следы вымогателя очищены. С расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...