Шифровальщик Vault

[Loer]

Добрый день. На электронный адрес пришло письмо с вложенным файлом (письмо удалили) после открытия вложенного файла появилось сообщение, что все текстовые, экселевские и графические файлы зашифрованы к расширению файлов добавилось .vault. Помогите мне пожалуйста. я прикрепляю по одному из файлов. Еще вопрос, я новичок и не нашел где можно скачать программы для сканирования "логов" и как это сделать. У нас на компьютерах стоят защиты от посещения некоторых сайтов. За ранее спасибо Вам большое за помощь и внимание. С Уважением Сергей.

НМЦК фрукты свежие.xls

продукты питания 2 квартал.zip

[Roman_Five]

внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

[Loer]

Прикрепляю файлы, только какие точно нужны я не знаю, поэтому прикрепляю все, не ругайтесь пожалуйста!!!

CheckBrowsersLNK.zip

CollectionLog-2015.03.12-10.03.zip

report1.log

report2.log

RSIT.zip

GeneralScript.txt

Script2.txt

[Roman_Five]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

Китайский прокси сами прописывали?

\\

приложите логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

[Loer]

 Farbar Recovery Scan Tool  не скачивается блокируется пишет "Уважаемый пользователь, запрашиваемый Вами ресурс содержит запрещенные материалы. Доступ к ресурсу заблокирован." можно его скачать из другого места? Прикладываю лог

ClearLNK-12.03.2015_10-50.log

[Roman_Five]

 

 

Китайский прокси сами прописывали?

[Loer]

Что за китайский прокси? программист пытался обойти данные блокировки и пытался изменить или что-то сделать с ип-адресом

Скажите пожалуйста можно скачать  Farbar Recovery Scan Tool  из другого сайта, или другим способом?

[Roman_Five]

http://safezone.cc/resources/farbar-recovery-scan-tool-frst.64/

\\\

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\Пользователь\appdata\local\kometa\kometaup.exe');
 TerminateProcessByName('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe');
 TerminateProcessByName('c:\program files (x86)\vk downloader\backgroundsingleton.exe');
 TerminateProcessByName('c:\program files (x86)\advplugin\backgroundsingleton.exe');
 SetServiceStart('4F888DA8223A97F1', 4);
 SetServiceStart('AmmyyAdmin_13A0', 4);
 SetServiceStart('Update Service for VK Downloader', 4);
 StopService('4F888DA8223A97F1');
 StopService('Update Service for VK Downloader');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Temp\Temp1_Ohlucky.zip\Ohlucky.exe','');
 QuarantineFile('C:\Program Files (x86)\advPlugin\*','');
 QuarantineFile('KMPJL64.DLL','');
 QuarantineFile('C:\Windows\TEMP\3DF9E0D.sys','');
 QuarantineFile('C:\Users\Пользователь\Downloads\AmmyyAdmin_v3.exe','');
 QuarantineFile('C:\Program Files (x86)\VK Downloader\*','');
 QuarantineFile('c:\users\Пользователь\appdata\local\kometa\*','');
 DeleteFileMask('C:\Program Files (x86)\advPlugin\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\advPlugin\',' ');
 DeleteFileMask('C:\Program Files (x86)\VK Downloader\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\VK Downloader\',' ');
 DeleteFile('C:\Users\Пользователь\Downloads\AmmyyAdmin_v3.exe','32');
 DeleteFile('C:\Windows\TEMP\3DF9E0D.sys','32');
 DeleteFile('C:\Windows\Tasks\Update Service for advPlugin.job','64');
 DeleteFile('C:\Windows\Tasks\Update Service for advPlugin2.job','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin2','64');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\Temp1_Ohlucky.zip\Ohlucky.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{BB5C07A7-7237-45AA-B66B-3675C75691D7}','64');
 DeleteFileMask('C:\Users\Пользователь\appdata\local\kometa\','*', true , '');
 DeleteDirectory('C:\Users\Пользователь\appdata\local\kometa\',' ');
 DelBHO('1FE48F08-A2AC-44AC-A21C-0556D91C50DA');
 DelBHO('3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6');
 DelBHO('7CE987D5-11B3-44FC-9C3D-03069360D462');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ezexjxplib');
 DeleteService('4F888DA8223A97F1');
 DeleteService('AmmyyAdmin_13A0');
 DeleteService('Update Service for VK Downloader');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 112.32.45.200:80
O2 - BHO: advPlugin - {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} - C:\Program Files (x86)\advPlugin\Toolbar32.dll
O2 - BHO: VK Downloader - {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} - C:\Program Files (x86)\VK Downloader\Toolbar32.dll
O4 - HKCU\..\Run: [ezexjxplib] cmd /c start http://simsimotkroysia.ru/
O4 - HKCU\..\Run: [kometaup] C:\Users\Пользователь\AppData\Local\Kometa\kometaup.exe --windows-start
O9 - Extra button: Currency Converter - {7CE987D5-11B3-44FC-9C3D-03069360D462} - C:\Program Files (x86)\advPlugin\Toolbar32.dll

 

Сделайте новые логи по правилам (только пункт 3).

[Loer]

Прошу прощения, что забираю у Вас так много времени, но при запуске программы пишет что необходимо использовать FRST64  (

[Roman_Five]

http://www.softpedia.com/get/Security/Security-Related/Farbar-Recovery-Scan-Tool.shtml#download

[Loer]

сделал все как Вы писали, файл отправил, выкладываю файл. По последней проверке тоже доступ заблокирован (((

в Пофиксите в HijackThis действительно нет строчек всех, кроме первой. и еще на рабочем столе имеются файлы Vault key, vault.txt и desktop.ini

CollectionLog-2015.03.12-13.30.zip

[Roman_Five]

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 112.32.45.200:80

почему не пофиксили?

[Loer]

Прислали письмо, вот содержание:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

AmmyyAdmin_v3.exe - not-a-virus:RemoteAdmin.Win32.Ammyy.akz
Interfaces64.dll - not-a-virus:WebToolbar.Win32.Agent.bii
kometaup.exe - not-a-virus:Downloader.Win32.Agent.cxan
Toolbar32.dll,
Toolbar32_0.dll - not-a-virus:WebToolbar.Win32.Agent.bgn

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

BackgroundSingleton.exe,
BackgroundSingleton_0.exe,
uninstall_0.exe
BackgroundSingleton.tlb,
BackgroundSingleton_0.tlb,
BlD4btObOX.exe,
icon16.ico,
info.json,
info_0.json,
install.bat,
install.html,
install.inf,
install_0.bat,
install_0.html,
install_0.inf,
Loader.exe,
Loader_0.exe,
Runner.exe,
Toolbar32.tlb,
Toolbar32_0.tlb,
Toolbar64.dll,
Toolbar64.tlb,
Toolbar64_0.dll,
Toolbar64_0.tlb,
uninstall.exe,
update.xml,
update_0.xml
Interfaces32.dll,
Interfaces32_0.dll,
Interfaces64_0.dll,
Uninstaller.exe,
Uninstaller_0.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

Прислали письмо, вот содержание:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

AmmyyAdmin_v3.exe - not-a-virus:RemoteAdmin.Win32.Ammyy.akz
Interfaces64.dll - not-a-virus:WebToolbar.Win32.Agent.bii
kometaup.exe - not-a-virus:Downloader.Win32.Agent.cxan
Toolbar32.dll,
Toolbar32_0.dll - not-a-virus:WebToolbar.Win32.Agent.bgn

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

BackgroundSingleton.exe,
BackgroundSingleton_0.exe,
uninstall_0.exe
BackgroundSingleton.tlb,
BackgroundSingleton_0.tlb,
BlD4btObOX.exe,
icon16.ico,
info.json,
info_0.json,
install.bat,
install.html,
install.inf,
install_0.bat,
install_0.html,
install_0.inf,
Loader.exe,
Loader_0.exe,
Runner.exe,
Toolbar32.tlb,
Toolbar32_0.tlb,
Toolbar64.dll,
Toolbar64.tlb,
Toolbar64_0.dll,
Toolbar64_0.tlb,
uninstall.exe,
update.xml,
update_0.xml
Interfaces32.dll,
Interfaces32_0.dll,
Interfaces64_0.dll,
Uninstaller.exe,
Uninstaller_0.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

Пофиксил, прошу прощения за мои тормоза

 Farbar Recovery Scan Tool  скачаю дома и привезу на работу, скорее всего в понедельник выложу результаты

hijackthis.log

[Roman_Five]

и снова не пофикшено:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 112.32.45.200:80

[Loer]

Здравствуйте, сегодня после обеда все выложу