5 / 5 / 0
Регистрация: 18.10.2012
Сообщений: 192
|
|
1 | |
Вирус зашифровал файлы и добавил расширение vault25.03.2015, 16:35. Показов 1249. Ответов 5
Метки нет (Все метки)
Всем добра!
2 сотрудницы открыли одно и тоже письмо на разных компах и заразили систему. У обеих "уродец" зашифровал файлы данных и добавил расширение vault . До того как поискал информацию на форуме, на первом компе "прошелся" авастом и не поняв сначала в чем дело - убрал расширение vault у зашифрованных файлов. Прикладываю логи обоих компьютеров. Жду ваших советов. Спасибо.
0
|
25.03.2015, 16:35 | |
Ответы с готовыми решениями:
5
Вирус зашифровал файлы и добавил расширение vault Вирус зашифровал файлы данных и добавил расширение vault Вирус зашифровал файлы и добавил vault Вирус зашифровал файлы и добавил vault после расширения |
13093 / 7246 / 1532
Регистрация: 06.09.2009
Сообщений: 26,469
|
|
25.03.2015, 21:43 | 2 |
Начните с того, что по второму компьютеру создайте отдельную тему
Ответ дается только по логам, начинающимся с А Выполните скрипт в AVZ Код
begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; SetServiceStart('ccnfd_1_10_0_2', 4); QuarantineFile('C:\Program Files\clickcaption_1.10.0.2\ie\clickcaptionclientie.dll',''); QuarantineFile('C:\Program Files\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta',''); QuarantineFile('C:\WINDOWS\system32\drivers\ccnfd_1_10_0_2.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\ccnfd_1_10_0_2.sys','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','32'); DeleteFile('C:\Program Files\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll','32'); DeleteFile('C:\Program Files\clickcaption_1.10.0.2\ie\clickcaptionclientie.dll','32'); DelBHO('{A18EA34C-6D33-4298-8A54-7F16499904C0}'); DeleteService('ccnfd_1_10_0_2'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Выполните скрипт в AVZ Код
begin CreateQurantineArchive('c:\quarantine.zip'); end. Сделайте новые логи по правилам
1
|
5 / 5 / 0
Регистрация: 18.10.2012
Сообщений: 192
|
|
26.03.2015, 08:37 [ТС] | 3 |
Свежие логи с пролеченного компа
0
|
13093 / 7246 / 1532
Регистрация: 06.09.2009
Сообщений: 26,469
|
|
26.03.2015, 11:14 | 4 |
Логи в порядке
С расшифровкой не поможем
1
|
5 / 5 / 0
Регистрация: 18.10.2012
Сообщений: 192
|
|
26.03.2015, 11:35 [ТС] | 5 |
Даже посоветовать ничего не сможете? Вообще реально нет?
Известны случаи расшифровки?
0
|
13093 / 7246 / 1532
Регистрация: 06.09.2009
Сообщений: 26,469
|
|
26.03.2015, 13:48 | 6 |
Вирлабы бессильны, куда уж нам
0
|
26.03.2015, 13:48 | |
26.03.2015, 13:48 | |
Помогаю со студенческими работами здесь
6
Вирус зашифровал файлы и добавил свое расширение Вирус зашифровал файлы и добавил свое расширение *.owgcltd Вирус зашифровал все файлы в расширение vault Вирус зашифровал все файлы в расширение vault Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |