28.10.2015, 11:49 | #1 (ссылка) |
Новичок
Регистрация: 10.04.2013
Сообщений: 122
Репутация: 0
|
Шифрователь VAULT
Вот сколько не говоришь людям не открывать вложения когда не ждете его, Все равно найдутся умники которые посчитают что это говорили не для них и откроют...
Итогом зашифрованы данные на компе... То что расшифровать это своими средствами не получится это я и так понимаю, насколько я знаю там 512-битный ключ, хрен его подберешь... Но это и не проблема, все что надо восстановили, теперь бы вымести остатки от этого вируса с компа... Посмотрите лог uVs пожалуйста, как его вычистить из системы чтобы все чистенько осталось? |
28.10.2015, 12:13 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
этот ключ удалите в автозапуске
HKEY_USERS\S-1-5-21-1845331124-2349874826-3009840423-500\Software\Microsoft\Windows\CurrentVersion\Run\ b2c8c70b его содержимое такое: mshta C:\Users\Администратор\AppData\Roaming\ca8469cb547 34157.hta демонстрирует заставку с рекламой оплаты + в %temp% удалите файлы: js, cmd, exe, vbs созданные на момент шифрования. |
28.10.2015, 12:15 | #3 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
Stolyar, Скопируйте код ниже в буфер обмена
Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c delall %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\1\{81D28645-B98C-44C7-A189-908ED60AA6E0}\{C5FD4128-E9DB-441B-BFAC-7C3E33FF6FEF}\ISLICENSE.DLL delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\1\V8_C273_6A.TMP delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\2\V8_CDD8_4B.TMP delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\1\V8_F8D3_71.TMP delref D:\DRIVERPACKSOLUTION.EXE deltmp delnfr restart |
28.10.2015, 13:35 | #4 (ссылка) |
Новичок
Регистрация: 10.04.2013
Сообщений: 122
Репутация: 0
|
Все что нашел Малваребайтс:
Но это насколько я понимаю сервер ключей от 1С... ПО крайней мере назывался он вроде именно так... Malwarebytes Anti-Malware www.malwarebytes.org Дата проверки: 28.10.2015 Время проверки: 11:51 Файл журнала: Администратор: Да Версия: 2.2.0.1024 База данных вредоносных программ: v2015.10.28.01 База данных руткитов: v2015.10.23.01 Лицензия: Бесплатная версия Защита от вредоносных программ: Выключено Защита от вредоносных веб-сайтов: Выключено Самозащита: Выключено ОС: Windows Server 2008 R2 Service Pack 1 Процессор: x64 Файловая система: NTFS Пользователь: Администратор Тип проверки: Полная проверка Результат: Завершено Проверено объектов: 313601 Затраченное время: 5 мин, 30 с Память: Включено Автозагрузка: Включено Файловая система: Включено Архивы: Включено Руткиты: Выключено Эвристика: Включено PUP: Включено PUM: Включено Процессы: 1 Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 2080, , [2e23da827219ef47a7e299b3b947bf41] Модули: 0 (Вредоносные программы не обнаружены) Разделы реестра: 0 (Вредоносные программы не обнаружены) Значения реестра: 0 (Вредоносные программы не обнаружены) Данные реестра: 0 (Вредоносные программы не обнаружены) Папки: 0 (Вредоносные программы не обнаружены) Файлы: 1 Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [2e23da827219ef47a7e299b3b947bf41], Физические сектора: 0 (Вредоносные программы не обнаружены) (end) |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Шифровальщик :( *.doc.vault | foto-s | Безопасность | 12 | 17.05.2015 14:58 |
Комп заболел "vault" | november15 | Безопасность | 16 | 03.04.2015 15:55 |