Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальшик .vault

zxAntr
 Поделиться

Рекомендуемые сообщения

Roman_Five

Roman_Five

Опубликовано
Опубликовано 



======Файл Hosts======





107.21.243.42  qiq.ws

107.21.224.156  qiq.ws

107.21.226.254  qiq.ws


сами добавляли?

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):



begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 ClearQuarantine;

 QuarantineFile('C:\DOCUME~1\MAKKOV~1.URP\LOCALS~1\Temp\revlt.js','');

 DeleteFile('C:\DOCUME~1\MAKKOV~1.URP\LOCALS~1\Temp\revlt.js','32');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin

DeleteFile('Qurantine.zip','');

ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);

end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::


1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.


 

Порядок действий на портале Kaspersky Virus Desk::


1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.


 

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 2).
zxAntr

zxAntr

Опубликовано
  • Автор
Опубликовано

в хостс лично я не писал ничего, может ко до меня, во всяком случае это сейчас я убрал.

 

карантин отправлен, жду ответа

 

новые логи 

CollectionLog-2015.04.01-14.43.zip

Roman_Five

Roman_Five

Опубликовано
Опубликовано

C:\Documents and Settings\it4\Главное меню\Программы\Удаленный помощник.lnk

 

вот это надо для работы?


\\

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 ClearHostsFile;
 DeleteFile('C:\Documents and Settings\makkoveeva.URPLUS\Desktop\vault.txt','32');
 DeleteFile('C:\DOCUME~1\MAKKOV~1.URP\LOCALS~1\Temp\VAULT.txt','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3862517922-4203479398-2760334436-2120\Software\Microsoft\Windows\CurrentVersion\Run','tnotify');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3862517922-4203479398-2760334436-2120\Software\Microsoft\Windows\CurrentVersion\Run','attrvlt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O1 - Hosts: 107.21.243.42 qiq.ws
O1 - Hosts: 107.21.224.156 qiq.ws
O1 - Hosts: 107.21.226.254 qiq.ws
 
Сделайте новые логи по правилам (только пункт 3).

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Юлия Соловьёва
      Vault зашифровал файлы
      Автор Юлия Соловьёва
      Здравствуйте! Вечером 15 апреля на компьютере появился вирус Vault. Никаких "левых" писем не открывала. Предположительно, мог попасть через флешку.  Vault зашифровал важные файлы. Помогите, пожалуйста. Логи прикладываю..
      CollectionLog-2015.04.28-22.45.zip
    • antonio18-88
      Зашифрованы файлы вирусом Vault
      Автор antonio18-88
      Пришло письмо на электронку от знакомого человека с вложенным  архивированным файлом в формате ZIP, после его открытия все рабочие документы и картинки, фото на компьютаре  перестали открываться, у всех у них стало разрешение VAULT. После перезагрузки компа вылез текстовый файл с просьбой установить браузер, зайти на их сайт, и за деньги скачать ключ. Нужна ваша помощь!Что в моем случае можно сделать?
      vault.txt
    • Deef89
      шифровальщик vault
      Автор Deef89
      Добрый день,
      Шифровальщик vault зашифровал все файлы, помогите пожалуйста решить проблему, заранее благодарен.
      Буду благодарен за вашу оперативность.
      CollectionLog-2015.04.27-13.39.zip
    • Steel Rain
      Заражение Trojan-Ransom.BAT.Scatter.ay
      Автор Steel Rain
      Доброго всем времени суток.
       
      Вчера по почте мне переслали файлик с якобы исправленным договором, который не открывается. В письме оказалось вложение zip, в котором был файл с двойным расширением *.docx.js. Что, мягко говоря, показалось мне странным. Тем не менее, установленный Kaspersky Endpoint Security 10 (10.1.0.867) на архив не ругнулся. Стал я его проверять на Virustotal и прочих интернет сервисах проверки. Virustotal архив признал не зараженным. А вот распакованный файл из него детектировал как Trojan-Ransom.BAT.Scatter.ay (по версии Касперского). Описания именно этой модификации я не нашел, в связи с этим у меня несколько вопросов: Заразил ли я свой комп? Что эта дрянь делает? и как её лечить? Полная проверка KES ничего не находит пока.
      Заранее признателен.
       
      P.S. должны мне привезти ноут на котором пытались этот файл открыть. Т.е. там точно его запустили и 100% машинка зараженная. Дайте пожалуйста рекомендации, как с наименьшим ущербом для данных пролечить? Я сразу порекомендовал выключить питание и пока ничего не трогать. Предполагаю, что загружаться в зараженную систему не стоит. Как предотвратить распространение вируса, если загрузиться "снаружи"?
      CollectionLog-2015.04.24-09.36.zip
    • mikril
      шифратор .vault
      Автор mikril
      День добрый! Помогите, пожалуйста. Ситуация, как я понял, прочитав несколько тем, стандартная- схватили на компьютер шифратор .VAULT. Сделал всё по инструкции - http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
       
      заранее спасибо
       
      пс. компьютер в данный момент не имеет подключения к интернету, если это необходимо для создания полноценных логов, можно исправить
      CollectionLog-2015.04.17-12.09.zip
×
×
  • Создать...