файлы зашифрованы с расширением .vault , bat encoder /CryptVault

1 2 3 4 5 ... 49 След.
RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.
размер образа 0 байт
перезалейте образ автозапуска. можно на http://rghost.ru
Перезалил. http://rghost.ru/private/89Sf7VnPQ/b7ac56319f69b9e840fc9dfd0a5e0885
1. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да";uVS v3.85.7 [http://dsrt.dyndns.org]
Код
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DMITRY\APPDATA\ROAMING\METACRAWLER\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF4526295AE59282AECFA4F8B940ED1BB1F10A99A84BC38B6280D23AE7F3E7F5527A542C18427AA7F08FA958CB78DAA3286FCD388A42F38F9DD8C 9 a variant of Win32/DealPly.O

zoo %SystemDrive%\USERS\DMITRY\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

delall %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\ANYPROTECT.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YAMBLER.NET/?IQ&UID=530E77BF5BA5991D6EEB857C7522A280&IID=24178612

; Free Video Player 1.0
exec  C:\Program Files (x86)\Free Video Player\unins000.exe
; metaCrawler
exec  C:\Program Files (x86)\metaCrawler\1.8.19.0\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению данных. проверьте возможность восстановления из теневой копии. у вас NT 6.1 для системного диска эта функция поддерживается по умолчанию.

3. по энкодеру vault расшифровки нет.
Изменено: santy - 04.06.2016 18:41:58
Выполнил скрипт, та же проблема с выскакиванием окна с ссылкой на сайт. (Скрин прилагаю)
Попробуйте поменять заставку рабочего стола.
+
Посмотрите что у вас в папке: Пуск > Все программы > Автозагрузка.
Заставки нет, в автозагрузке - Монитор технологии Intel@® Turbo Boost
Сделайте новый образ автозапуска в uVS
Изменено: RP55 RP55 - 04.06.2016 18:41:58
В диспетчере задач вот что:
поищите на диске файл vault.hta, если будет найден, удалите его
1 2 3 4 5 ... 49 След.
Читают тему (гостей: 2)