Шифратор vault

@Скиф87 · Регистрация: 18.01.2016

Author24 — интернет-сервис помощи студентам

добрый день!

бухгалтерия словила шифровальщика, данные соотв убили. Есть резервные копии важных данных, но не могу вычистить эту грязь с компа. После чистки Нод32 и cureit и перезагрузки на раб столе снова появляется файл vault.key , а нод ругается на наличие его в temp. Реестр пытался чистить, но гдето он все равно сидит, пожалуйста помогите.

@thyrex · 18.01.2016, 20:33

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\WIC\WIC.cmd','');
 QuarantineFile('C:\Windows\SysWOW64\WIC\WIC.lnk','');
 DeleteFile('C:\Windows\SysWOW64\WIC\WIC.lnk','32');
 DeleteFile('C:\Windows\system32\WIC\WIC.cmd','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','WIC');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@Скиф87 · 19.01.2016, 12:26 **[ТС]**

выполнил скрипты, данные подгрузил

@thyrex · 19.01.2016, 20:56

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

@Скиф87 · 21.01.2016, 11:05 **[ТС]**

выполнил и прикрепил

@thyrex · 21.01.2016, 20:16

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
C:\Users\user\AppData\Local\Temp\rn32.dll
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

С расшифровкой не поможем.

@Скиф87 · 26.01.2016, 12:33 **[ТС]**

подгрузил

@thyrex · 27.01.2016, 00:14

С расшифровкой не поможем

@Скиф87 · 27.01.2016, 08:44 **[ТС]**

лечение завершено?

@thyrex · 28.01.2016, 20:43

Завершено

@Скиф87 · 28.01.2016, 21:41 **[ТС]**

спасибо огромное. Если можно киньте ссыль как можно предохранятся от этой гадости помимо бэкапов.

Еще раз огромное спасибо!

@thyrex · 28.01.2016, 22:10

Рекомендации после удаления вредоносного ПО

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	19.01.2016, 20:56	4
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив**) и прикрепите к сообщению. 1

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	21.01.2016, 20:16	6
	1. Откройте Блокнот и скопируйте в него приведенный ниже текст Код CreateRestorePoint: C:\Users\user\AppData\Local\Temp\rn32.dll Reboot: 2. Нажмите Файл – Сохранить как 3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – *Все файлы (.)* 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. С расшифровкой не поможем. 1

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	27.01.2016, 00:14	8
	С расшифровкой не поможем 0

@Скиф87 0 / 0 / 0 Регистрация: 18.01.2016 Сообщений: 11
	27.01.2016, 08:44 [ТС]	9
	лечение завершено? 0

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	28.01.2016, 20:43	10
	Завершено 1

@Скиф87 0 / 0 / 0 Регистрация: 18.01.2016 Сообщений: 11
	28.01.2016, 21:41 [ТС]	11
	спасибо огромное. Если можно киньте ссыль как можно предохранятся от этой гадости помимо бэкапов. Еще раз огромное спасибо! 0

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	28.01.2016, 22:10	12
	Рекомендации после удаления вредоносного ПО 0