21.01.2016, 17:00 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
чистый образ, нет следов шифратора в автозапуске
добавьте лог журнала обнаружения антивируса, глянуть что ESET обнаружил http://forum.esetnod32.ru/forum9/topic1408/ |
21.01.2016, 17:35 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
а часть файлов все равно шифрануло?
судя по логу то что было удалено (VAULT.hta), это не самое важное в данном шифраторе, в основном окна предупреждения. 21.01.2016 8:53:39 Защита в режиме реального времени файл C:\Users\mosyakina\Desktop\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe. 21.01.2016 8:53:39 Защита в режиме реального времени файл C:\Users\mosyakina\AppData\Roaming\Microsoft\Windo ws\Start Menu\Programs\Startup\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe. 21.01.2016 8:53:39 Защита в режиме реального времени файл D:\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe. 21.01.2016 8:53:38 Защита в режиме реального времени файл C:\Users\mosyakina\AppData\Roaming\Microsoft\Windo ws\Templates\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe. 21.01.2016 8:53:38 Защита в режиме реального времени файл C:\Users\mosyakina\AppData\Roaming\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe. 21.01.2016 8:17:50 Защита в режиме реального времени файл C:\Users\MOSYAK~1\AppData\Local\Temp\1_ff4N2U.js.p art JS/TrojanDownloader.Agent.OEQ троянская программа очищен удалением FEST-K\mosyakina Событие произошло в файле модифицированном приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe. |
21.01.2016, 22:02 | #5 (ссылка) |
Новичок
Регистрация: 14.01.2014
Сообщений: 12
Репутация: 0
|
На рабочем столе было несколько файлов doc и xls, они стали doc.vault и xls.vault. В темпе пользователя тоже были какие-то документы, они частично закодировались.
Не знаю что там скачалось по ссылке, может что-то пользователь удалил. Пришло сразу несколько писем с просьбой найти потерянные документы, а то им грозят штрафами и ссылка на файл "Поиск документов", если перейти по ней то кидает на фейковый яндекс диск с ссылкой на файл js. По коду вроде как генерирует какие-то файлы, не понимаю js. |
21.01.2016, 22:19 | #6 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
nik0el
Если нужна помощь - то, по правилам форума нужно создать свою тему. ( Чтобы избежать путаницы ) С расшифровкой вряд ли поможем - но, если в системе есть вирус поможем с его удалением. Для этого нужно выполнить: http://pchelpforum.ru/f26/t6442/ Нужен образ автозапуска в программе uVS *Если вы раньше работали с uVS и у вас старая версия программы то _обязательно обновите программу до актуальной версии. * Проблемами шифрования у нас занимается: safety Он будет завтра. -------- По расшифровке нужно обращаться в ту антивирусную компанию чей продукт у вас установлен. ( разуется речь идёт о платных антивирусных продуктах ) |
22.01.2016, 06:56 | #7 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
Цитата:
Можно проверить папку system32 (с датой создания соответственно шифрованию) , в ней должен быть каталог с атрибутом системный, скрытый, в этом каталоге может быть десятка два файлов. Файл шифратора может иметь расширение scr, pif, cmd и т.п. + если сохранилось вредоносное письмо, перешлите его в архиве с паролем infected в почту safety@chklst.ru |
|
22.01.2016, 10:17 | #8 (ссылка) |
Новичок
Регистрация: 14.01.2014
Сообщений: 12
Репутация: 0
|
папку system32 проверял, там было два новых файла с длинными названиями из букв-цифр, удалял их. Только потом активация слетела, не знаю из-за чего, может из-за них. Запрашивал повторную активацию, прошла успешно.
еще раз глянул ссылку в письме, яндекс диск настоящий. |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Шифрователь VAULT | Stolyar | Безопасность | 4 | 28.10.2015 14:04 |
Вирус шифровальщик | Ruto4ka | Безопасность | 2 | 26.05.2015 06:53 |
Шифровальщик :( *.doc.vault | foto-s | Безопасность | 12 | 17.05.2015 14:58 |
Help me (Скачал шифровальщик) | Swansons | Безопасность | 15 | 16.02.2015 22:17 |
вирус шифровальщик | volkoff. | Безопасность | 1 | 13.10.2014 22:23 |