Перейти к содержанию

Шилкин вирус VAULT.hta

shilkinm
 Поделиться

Рекомендуемые сообщения

shilkinm

shilkinm

Опубликовано
Опубликовано

Пришло письмо на гмаил от человека. В письме акт сверки и просьба оплатить деньги  и архив. Скачал, распаковал, запустил и вот он вирус.

CollectionLog-2015.11.04-19.07.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
shilkinm

shilkinm

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[KLAN-3316353718]

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
shilkinm

shilkinm

Опубликовано
  • Автор
Опубликовано

Все файлы пока остались с испорченными расширениями (.VAULT). Не подскажите , что с ними делать? Как исправить.

И я в ручную удалил после выполнения скриптов файлы VAULT.htm и VAULT.key ( в корне диска С:/ и с рабочего стола)


Все файлы пока остались с испорченными расширениями (.VAULT). Не подскажите , что с ними делать? Как исправить.

И я в ручную удалил после выполнения скриптов файлы VAULT.htm и VAULT.key ( в корне диска С:/ и с рабочего стола)


Все файлы пока остались с испорченными расширениями (.VAULT). Не подскажите , что с ними делать? Как исправить.

И я в ручную удалил после выполнения скриптов файлы VAULT.htm и VAULT.key ( в корне диска С:/, D:/, M:/ и с рабочего стола)

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

 

 


И я в ручную удалил после выполнения скриптов файлы VAULT.htm и VAULT.key ( в корне диска С:/, D:/, M:/ и с рабочего стола)
Кто-то просил заниматься самодеятельностью?

 

С расшифровкой не поможем

Ссылка на комментарий
Поделиться на другие сайты
shilkinm

shilkinm

Опубликовано
  • Автор
Опубликовано

Логи в порядке

Не подскажите в какой раздел обратиться с просьбой о разблокировке файлов. И на компе очень много осталось файлов с расширением .dll, .exe, . mui и др.

 

Логи в порядке

Не подскажите в какой раздел обратиться с просьбой о разблокировке файлов. И на компе очень много осталось файлов с расширением .dll, .exe, . mui и др.

 

Я имел ввиду файлы от вируса

Ссылка на комментарий
Поделиться на другие сайты
shilkinm

shilkinm

Опубликовано
  • Автор
Опубликовано

Расшифровать могут только сами злодеи. Увы

 

Никаких файлов от вируса у Вас нет 

Большое спасибо Вам за помощь

Есть Локальный диск (С:) предыдущие версии. Из этого файла нет возможности восстановить файлы или вернуть ключ шифрования. Вдруг понадобиться. 

Или там вирус может сидеть прописанный? дата предыдущей версии  03.11.2015 12,26

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Anton3456
      [РЕШЕНО] появился вирус
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • Eugenij_
      Вирус в оперативке видеокарты
      Автор Eugenij_
      Здравствуйте. Сегодня поймал удивительного вируса. Купил видеокарту недорого. На Озоне. Говорят, на витрине стояла. 1070. Воткнул. Начал ставить драйвера. Смотрю. У меня архивчик на рабочем столе сам мелькнул. И пропал. Я, естественно, шнур интернета выдернул. И перезагузился в линукс. И начал наблюдать удивительную картину, как у меня в папку загрузки сыплется софт. Я его удаляю, а он снова летит. Там даже сервер под винду падал. Денвер. Драйвера на мою материнку...  Касперский ни звука. Ладно, гружу винду в безопасном режиме. Лезу в службы и обнруживаю драйвер Рам диска. И отключить зараза не даёт. Отдавать не хочу. Интересно сбороть. Тут, наверное, только биос шить? К сожалению это было уже ночью. Не было сил нормально понаблюдать. Пока компьютер не включал. 
    • dpv909
      Вирус DPC:PowerShell.AVKill.10
      Автор dpv909
      Поймал судя по всему майнер. Откуда - идей нет. DrWeb - он обнаруживает его, выдает следующее: Дата:
      12.08.2025 8:16Компонент:
      SpIDer GuardКод:
      501Событие:
      Обнаружена угрозаСведения:
      Объект: powershell.exe Угроза: DPC:PowerShell.AVKill.10 Действие: Не обезврежено Путь: \PROC\CMDLINE\2664\powershell.exe 
      Проверку выполнял: найти угроз не удалось.
    • lizachan
      Это вирус? (скрин)
      Автор lizachan
      Касперский несколько раз подряд находит эти вирусы и как я поняла не удаляет их почему-то. Смогла запустить этот антиварь только переименовав его. 
       
       

×
×
  • Создать...