Закрыто шифровальщик vault испортил все файлы

Тема в разделе "Лечение компьютерных вирусов", создана пользователем ыукпеьт, 11 ноя 2015.

Статус темы:
Закрыта.
  1. ыукпеьт
    Оффлайн

    ыукпеьт Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
  2. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.061
    Симпатии:
    4.488
  3. ыукпеьт
    Оффлайн

    ыукпеьт Новый пользователь

    Сообщения:
    6
    Симпатии:
    0

    Вложения:

    • инф_файлы.7z
      Размер файла:
      82,4 КБ
      Просмотров:
      0
    • FRST.txt
      Размер файла:
      78,2 КБ
      Просмотров:
      4
  4. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    Здравствуйте. Второй лог прикрепите.
     
  5. ыукпеьт
    Оффлайн

    ыукпеьт Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Здравствуйте, готово
     

    Вложения:

    • Addition.txt
      Размер файла:
      28,4 КБ
      Просмотров:
      3
  6. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код (Text):
      CreateRestorePoint:
      CloseProcesses:
      HKLM\...\Run: [MPlayer2] => C:\WINDOWS\system32\MPlayer2\MPlayer2.lnk [1579 2008-04-14] ()
      2015-11-09 10:21 - 2015-11-10 13:21 - 00000000 ___SD C:\WINDOWS\system32\MPlayer2
      Folder: C:\FRST\Quarantine
      GroupPolicy: Restriction - Chrome <======= ATTENTION
      CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
      CHR HKU\S-1-5-19\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
      CHR HKU\S-1-5-20\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
      CHR HKU\S-1-5-21-1757981266-1957994488-839522115-1004\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
      HKU\S-1-5-21-1757981266-1957994488-839522115-1004\...\Run: [C] => C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol [782 2015-11-09] ()
      Toolbar: HKU\S-1-5-21-1757981266-1957994488-839522115-1004 -> No Name - {468CD8A9-7C25-45FA-969E-3D925C689DC4} -  No File
      Toolbar: HKU\S-1-5-21-1757981266-1957994488-839522115-1004 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      CHR Extension: (Стартовая — Яндекс) - C:\Documents and Settings\PritulyakOV\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2015-11-11]
      CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
      CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
     
  7. ыукпеьт
    Оффлайн

    ыукпеьт Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    готов
     

    Вложения:

  8. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    Порядок.

    Проверьте наличие теневых копий согласно Как восстановить зашифрованные троянами файлы средствами Windows инструкции, если теневых копий нет, то я бы рекомендовал Вам обратиться в техподдержку DrWeb. У DrWeb есть некоторые успехи в расшифровке версии vault от 2 ноября. Подробней смотрите здесь Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault».
     
  9. ыукпеьт
    Оффлайн

    ыукпеьт Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    спасибо, но не вариант, система ХР, поэтому первая ссылка не подходит, а по второй - там только для пользователей доктора((((
     
  10. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    Но согласитесь это лучше чем поощрять злоумышленников.
     
  11. ыукпеьт
    Оффлайн

    ыукпеьт Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    лучше конечно, но как то странно, что только Dr.Web смог расшифровать этот злополучный вирус, а Касперский и NOD32 молчат, хотя оплаченных лицензий у них тоже хватает или спецы в лаборатории менее квалифицированы? Чет как то похоже на вирус для увеличения продаж доктора)))ИМХО
     
    Последнее редактирование: 12 ноя 2015
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Вопрос в цене вопроса. Легче потратить деньги на защиту, чем на исследования по поводу расшифровки.
     
  13. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.483
    Симпатии:
    3.100
    Злодеи закрыли лазейку. Потому уже и вебовцы бессильны
     
    shestale нравится это.
  14. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    Попробуйте. Запускать нужно только на том компьютере, где поймали шифровальщика.
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей