Баннер вирус

HomkA16 · 02.06.2016, 12:18

Появился баннер вирус, помогите исправить

логи uVS прикреплены

Гризлик · 02.06.2016, 12:47

Какой-нибудь один зашифрованый файл скиньте мне в Л.С.

safety · 02.06.2016, 13:03

Гризлик,
это заставка после шифрования текущим вариантом Vault
текущий вариант не имеет расшифровки в вирлабах, только за выкуп ключа у мошенников.

банер можно удалить, это файл VAULT.hta в папке автозагрузки, а вот файлы восстановить получится только если есть архивные копии.
C:\DOCUMENTS AND SETTINGS\V.LESNIKOV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VAULT.HTA

HomkA16 · 02.06.2016, 13:16

Цитата:

Сообщение от safety

Гризлик,
это заставка после шифрования текущим вариантом Vault
текущий вариант не имеет расшифровки в вирлабах, только за выкуп ключа у мошенников.

банер можно удалить, это файл VAULT.hta в папке автозагрузки, а вот файлы восстановить получится только если есть архивные копии.
C:\DOCUMENTS AND SETTINGS\V.LESNIKOV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VAULT.HTA

то есть, если нет копий файлы будут утеряны все?

Гризлик · 02.06.2016, 15:36

Скопируйте код ниже в буфер обмена

Код:

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v388c
OFFSGNSAVE
delref HTTP://START.ALAWAR.RU/?PID=20883
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\DOCUMENTS AND SETTINGS\V.LESNIKOV\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\84WEHIV9.DEFAULT\EXTENSIONS\IOBITASCSURFINGPROTECTION@IOBIT.COM\INSTALL.RDF
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\V.LESNIKOV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VAULT.HTA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\V.LESNIKOV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VAULT.HTA
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\V.LESNIKOV\LOCAL SETTINGS\TEMP\F1FE4278545.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\V.LESNIKOV\LOCAL SETTINGS\TEMP\F1FE4278545.EXE
czoo
delnfr
restart

Закройте все браузеры. Запустите UVS под текущим пользователем. В меню: Скрипты---Выполнить из буфера обмена. После перезагрузки выполните сканирование Malwarebytes и выложите полученый лог

П.С. Расшифровать файлы не получиться. Если только как написано выше попробывать востоновить. Здесь почитайте

safety · 02.06.2016, 15:37

угу, кроме шифрования еще и удаляет теневые копии (сейчас уже большинство шифраторов это делают) + ко всему может еще и пароли, сохраненные в браузерах найти и выслать в почту.

02.06.2016, 12:18
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Это ссылки на схожие темы, настоятельно рекомендую прочитать Баннер/вирус вирус баннер 2 Вирус баннер Вирус-баннер Вирус-баннер

02.06.2016, 12:47	#2 (permalink)
Гризлик Мимо проходил Регистрация: 06.04.2008 Сообщений: 13,130 Сказал(а) спасибо: 21 Поблагодарили 18 раз(а) в 5 сообщениях Репутация: 15356	Какой-нибудь один зашифрованый файл скиньте мне в Л.С.

02.06.2016, 13:03	#3 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	Гризлик, это заставка после шифрования текущим вариантом Vault текущий вариант не имеет расшифровки в вирлабах, только за выкуп ключа у мошенников. банер можно удалить, это файл VAULT.hta в папке автозагрузки, а вот файлы восстановить получится только если есть архивные копии. C:\DOCUMENTS AND SETTINGS\V.LESNIKOV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VAULT.HTA

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

02.06.2016, 15:37	#6 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	угу, кроме шифрования еще и удаляет теневые копии (сейчас уже большинство шифраторов это делают) + ко всему может еще и пароли, сохраненные в браузерах найти и выслать в почту.