Перейти к содержанию

Шифровальшик .vault


Рекомендуемые сообщения



======Файл Hosts======


107.21.243.42  qiq.ws
107.21.224.156  qiq.ws
107.21.226.254  qiq.ws


сами добавляли?

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\DOCUME~1\MAKKOV~1.URP\LOCALS~1\Temp\revlt.js','');
 DeleteFile('C:\DOCUME~1\MAKKOV~1.URP\LOCALS~1\Temp\revlt.js','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::


1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.


 

Порядок действий на портале Kaspersky Virus Desk::


1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.


 

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 2).
Ссылка на комментарий
Поделиться на другие сайты

в хостс лично я не писал ничего, может ко до меня, во всяком случае это сейчас я убрал.

 

карантин отправлен, жду ответа

 

новые логи 

CollectionLog-2015.04.01-14.43.zip

Ссылка на комментарий
Поделиться на другие сайты

C:\Documents and Settings\it4\Главное меню\Программы\Удаленный помощник.lnk

 

вот это надо для работы?


\\

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 ClearHostsFile;
 DeleteFile('C:\Documents and Settings\makkoveeva.URPLUS\Desktop\vault.txt','32');
 DeleteFile('C:\DOCUME~1\MAKKOV~1.URP\LOCALS~1\Temp\VAULT.txt','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3862517922-4203479398-2760334436-2120\Software\Microsoft\Windows\CurrentVersion\Run','tnotify');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3862517922-4203479398-2760334436-2120\Software\Microsoft\Windows\CurrentVersion\Run','attrvlt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O1 - Hosts: 107.21.243.42 qiq.ws
O1 - Hosts: 107.21.224.156 qiq.ws
O1 - Hosts: 107.21.226.254 qiq.ws

 
Сделайте новые логи по правилам (только пункт 3).
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Jonys
      От Jonys
      Здравствуйте, случилась беда откуда не ждали. Жена открыла письмо и почти все файлы на компьютере закодировались с расширением .vault.
      Помогите пожалуйста спасти данные, прикладываю логи 
       
       CollectionLog-2018.01.31-11.24.zip

    • kvv
      От kvv
      Здравствуйте!
      Открыл архив из электронной почты ( этой файлик вложил во вложение с именем "Заявка1...."),
      После чего подозрительно заработал винт, и теперь все документы и медиа файлы зашифрованы
      VAUL вирусом
      Просканировал утилитой AutoLogger ( Отчет во вложении)
      Помогите пожалуйста расшифровать файлы.
      Константин
       
      ВНИМАНИЕ в ФАЙЛЕ Заявка(1)_Информ. по доставке.zip   ВИРУС!!!! Не Качайте его без дела!
       
      пример зашифрованного файла во вложении. Засунул его в архив, так как не всталялся.."Вы не можете загружать файлы подобного типа"[/size]
      CollectionLog-2016.12.13-12.11.zip


      СЕТКА.jpg.rar
    • depresnak
      От depresnak
      Здравствуйте. Зашифровало  файлы в формате VAULT, Помогите расшифровать
       
      CollectionLog-2016.12.06-16.38.zip
    • Любомир
      От Любомир
      Доброе утро! Зашифровало  файлы в формате VAULT, Помогите розшыфровать. скачал  Farbar Recovery Scan Tool, прикрепляю файлы...
      Прикрепленные файлы Addition.txt
      FRST.txt
    • GumenLV
      От GumenLV
      Здравствуйте!
      Ситуация такая: 1 сентября 2016 я словила vault, который зашифровал многие документы и dbf-фалы на моем ПК. Я программист, но не системщик. Пригласила системщика (начальника отдела), он покопался в ПК, сказал, что почистил реестр, что вируса больше нет ("он самоубился"!), мне нужно удалить все испорченные файлы (горю не поможешь). Файлы были удалены. К счастью, у меня остались копии важных файлов на съемном носителе и архивы на сетевых дисках. Но "лечение" было очень нервным. 
      Сегодня при работе на ПК я обнаружила vault.key (и еще один файл с другим расширением) на диске D:
      Испугалась, удалила. Еще обнаружила один испорченный файл в папке TEMP локального профиля. Папки вычистила, корзину тоже.
      Что делать дальше? Системщика звать не хочу по понятным причинам.
      Каспер у нас стоит последний (10-й), лицензия корпоративная, у меня и у всех пользователей настроен агент.
       
      С уважением
×
×
  • Создать...