Перейти к содержанию

Шилкин вирус VAULT.hta

shilkinm
 Share

Рекомендуемые сообщения

shilkinm Новичок

shilkinm

Опубликовано
Опубликовано

Пришло письмо на гмаил от человека. В письме акт сверки и просьба оплатить деньги  и архив. Скачал, распаковал, запустил и вот он вирус.

CollectionLog-2015.11.04-19.07.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
shilkinm Новичок

shilkinm

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[KLAN-3316353718]

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
shilkinm Новичок

shilkinm

Опубликовано
  • Автор
Опубликовано

Все файлы пока остались с испорченными расширениями (.VAULT). Не подскажите , что с ними делать? Как исправить.

И я в ручную удалил после выполнения скриптов файлы VAULT.htm и VAULT.key ( в корне диска С:/ и с рабочего стола)


Все файлы пока остались с испорченными расширениями (.VAULT). Не подскажите , что с ними делать? Как исправить.

И я в ручную удалил после выполнения скриптов файлы VAULT.htm и VAULT.key ( в корне диска С:/ и с рабочего стола)


Все файлы пока остались с испорченными расширениями (.VAULT). Не подскажите , что с ними делать? Как исправить.

И я в ручную удалил после выполнения скриптов файлы VAULT.htm и VAULT.key ( в корне диска С:/, D:/, M:/ и с рабочего стола)

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


И я в ручную удалил после выполнения скриптов файлы VAULT.htm и VAULT.key ( в корне диска С:/, D:/, M:/ и с рабочего стола)
Кто-то просил заниматься самодеятельностью?

 

С расшифровкой не поможем

Ссылка на комментарий
Поделиться на другие сайты
shilkinm Новичок

shilkinm

Опубликовано
  • Автор
Опубликовано

Логи в порядке

Не подскажите в какой раздел обратиться с просьбой о разблокировке файлов. И на компе очень много осталось файлов с расширением .dll, .exe, . mui и др.

 

Логи в порядке

Не подскажите в какой раздел обратиться с просьбой о разблокировке файлов. И на компе очень много осталось файлов с расширением .dll, .exe, . mui и др.

 

Я имел ввиду файлы от вируса

Ссылка на комментарий
Поделиться на другие сайты
shilkinm Новичок

shilkinm

Опубликовано
  • Автор
Опубликовано

Расшифровать могут только сами злодеи. Увы

 

Никаких файлов от вируса у Вас нет 

Большое спасибо Вам за помощь

Есть Локальный диск (С:) предыдущие версии. Из этого файла нет возможности восстановить файлы или вернуть ключ шифрования. Вдруг понадобиться. 

Или там вирус может сидеть прописанный? дата предыдущей версии  03.11.2015 12,26

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...