шифровальщик vault

[qawaq]

Собственно сегодня один из компьютеров сегодня встретил чистым рабочим столом, почти чистым. На рабочем столе остались корзина,ярлык оперы и еще одной программы.
При этом, если зайти с\пользователи\пользователь\рабочий стол - все что было на рабочем столе, там и есть.
Проблем с открытием файлов пока не обнаружено.
В пуске пропала папка "стандартные" -там где блокнот и т.п.
В настройках браузера пропали прокси.
Пропали подключения к сетевым дискам.
В корневом папке дисков С и Д обнаружились файлы vault и еще кое где.
Вирустотал показывает такое
https://www.virustotal.com/ru/file/f4ab3224...sis/1494918613/

Касперски с обновленными базами не видит опасности

 

Эти 2 товарища ничего не нашли

• Kaspersky Virus Removal Tool 2015;
• Dr.Web CureIt!.

CollectionLog-2017.05.16-11.15.zip

[Sandor]

Здравствуйте!

 

Логи собраны в безопасном режиме. Почему? В обычном Автологер не запускается?

[qawaq]

Когда сначала комп в обычном режиме включал, то такое ощущение было, что эта хрень продолжает плодиться и гадить.

Не могу с 100% уверенностью сказать что так и было, но мне показалось, что в одной папке сначала файлов vaul небыло, а когда туда повторно зашел они появились.

Поэтому решил лучше в безопасном.

[Sandor]

Логи из безопасного не информативны. Переделайте, пожалуйста.

[qawaq]

сделал

CollectionLog-2017.05.16-13.22.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[qawaq]

сделал

FRST.txt

Shortcut.txt

Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  S2 googleupdate; C:\Windows\cssyIHKJdxDnIgF.exe [X]
  2017-05-16 08:04 - 2017-05-16 08:04 - 00000000 ____D C:\Users\Default\AppData\Local\DriverToolkit
  2017-05-16 08:04 - 2017-05-16 08:04 - 00000000 ____D C:\Users\Default User\AppData\Local\DriverToolkit
  2017-05-16 08:01 - 2017-05-16 08:01 - 00000000 ____D C:\Users\TEMP\AppData\Local\DriverToolkit
  Task: {62613515-7226-41FF-A13F-DEE8A93064EB} - System32\Tasks\DriverToolkit Autorun => C:\Program Files\DriverToolkit\DriverToolkit.exe [2015-07-01] (Megaify Software Co., Ltd.)
  Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files\DriverToolkit\DriverToolkit.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[qawaq]

сделал

Fixlog.txt

[Sandor]

Активного вредоноса нет. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[qawaq]

А все файлы

VAULT.KEY

CONFIRMATION.KEY

VAULT.hta

 

 Можно просто удалить?

[Sandor]

До выяснения подробностей в тех. поддержке - не удаляйте.

[qawaq]

Ну у нас зашифрованых файлов я пока не обнаружил, но эти файлы  я через личный кабинет касперски отправил в запросе.

А на карантин их отправить можно?

[Sandor]

зашифрованых файлов я пока не обнаружил

Тогда и запрос не нужен

Это текстовые файлы и вреда они принести не могут. Можете просто удалить.

 

Проверьте включена ли эта настройка.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[qawaq]

Просто тогда не понятно что случилось с рабочим столом и другими папками.

Вот что выяснил...

Все что было в рабочем столе,документах, изображениях и т.п. но никуда не пропало, если зайти C:\Users\Пользователь\ то оно все там есть

А рабочий стол действующий, документы и и д.р ссылается на C:/Windows/system32/config/systemprofile/

Так же еще почта оутлук 10 слетел профиль пользователя.