Перейти к содержанию

Поймали Vault

egor.bolotov
 Поделиться

Рекомендуемые сообщения

egor.bolotov Новичок

egor.bolotov

Опубликовано
Опубликовано

Доброго дня! Друзья, нужна помощь, подхватили на одной машине Vault.

зашифрованы ворд и эксель, при чем я так понял что шифрование приостановилось, так как дальше чем последний отслеживаемый файл шифровка не идет уже два дня комп включен. Комп подключен к сети - отключил так как переживаю что бы не полезло на другие компы. Инфы много и важной он зашифровал, но главное это очистить комп от заразы, Подскажите что и как делать?)

что было сделано)

1. Vault.hta лежит на рабочем столе. ничего не удалялось все как есть.

2. требований от злоумышлеников нет (страничка соответствующая отсутствует)

3. Таск менеджер указал что файл неактивный (написал в скобочках), было всплывающее окошко с SchedulingAgent, после удаления в таск менеджер при загрузке оно больше не загружается.

4. на данный момент проверил всё авастом - ничего не нашел, сейчас проверяю этим - http://antifraud.drweb.ru/encryption_trojs/?lng=ru

Спасибо за помощь!

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Я не доверяю всяким там псевдоантивирусам вроде Аваста.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на комментарий
Поделиться на другие сайты
egor.bolotov Новичок

egor.bolotov

Опубликовано
  • Автор
Опубликовано

Я не доверяю всяким там псевдоантивирусам вроде Аваста.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

проверил вторым антивиром доктор веб но проверка была поверхностной по ссылке что указывал заняла минут 20 ошибок нет. прикрепляю логи.CollectionLog-2015.11.27-14.19.zipCollectionLog-2015.11.27-14.19.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

пофиксите в Hijackthis

O2 - BHO: (no name) - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O4 - .DEFAULT Startup: VAULT.hta    ->    
O4 - S-1-5-18 Startup: VAULT.hta    ->    
O4 - S-1-5-19 Startup: VAULT.hta    ->    
O4 - S-1-5-20 Startup: VAULT.hta    ->    
O4 - Startup: VAULT.hta    ->    
O9 - Extra button: (no name) - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

повторите стандартные логи (архив не полный)
Ссылка на комментарий
Поделиться на другие сайты
egor.bolotov Новичок

egor.bolotov

Опубликовано
  • Автор
Опубликовано

 

пофиксите в Hijackthis

O2 - BHO: (no name) - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O4 - .DEFAULT Startup: VAULT.hta    ->    
O4 - S-1-5-18 Startup: VAULT.hta    ->    
O4 - S-1-5-19 Startup: VAULT.hta    ->    
O4 - S-1-5-20 Startup: VAULT.hta    ->    
O4 - Startup: VAULT.hta    ->    
O9 - Extra button: (no name) - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

повторите стандартные логи (архив не полный)

 

 

ну вот как получилось, посмотри пожалуйста, при выборе фикс Vault пишет вот такую вещь

HiJackThis.log

post-36522-0-46230900-1448868239_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
egor.bolotov Новичок

egor.bolotov

Опубликовано
  • Автор
Опубликовано

запускайте от имени администратора Hijackthis

 

ждём полный набор логов атологгера

Hijackthis запускаю от администратора. выбираю там Vault но ничего не происходит(

что из этого фиксить? тут уже вообще Vault нету

CollectionLog-2015.11.30-15.52.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
 DeleteFile('C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O2 - BHO: AlterGeo Magic Scanner - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O4 - Startup: VAULT.hta
O20 - Winlogon Notify: ScCertProp   - Invalid registry found
 
Сделайте новые логи по правилам (только пункт 2).

+
логи FRST
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696
 

Ссылка на комментарий
Поделиться на другие сайты
egor.bolotov Новичок

egor.bolotov

Опубликовано
  • Автор
Опубликовано

@egor.bolotov, скрипт нужно копировать полностью, включая точку после слова end. 

 

 

Спасибо тебе больше я совсем уже ничего не вижу))))))))))))

выполнил первый скрипт, перезагрузился, начал выполнять второй скрипт - пишет что скрипт выполнен без ошибок и папка архивная с карантином пустая. в  HijackThis всех трех строк нет. прикрепляю новые логи.

CollectionLog-2015.12.01-14.57.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • qwerty1234
      Подозреваю, что поймал майнер.
      Автор qwerty1234
      Здравствуйте! После посещения сайтов с бесплатными играми и фильмами ноутбук стал резко вибрировать и шуметь. Любой фильм или игра сопровождаются ритмичной вибрацией, которой раньше не было. Подозреваю, что поймал майнер.
      По рекомендации из одной из недавних тем скачал Security Check by glax24. Просканировал. Прикладываю результат.
      Так как сам я в этом не Копенгаген, прошу помочь расшифровать написанное и посоветовать план действий. Заранее благодарен!!!
       
      SecurityCheck by glax24 & Severnyj v.1.4.0.58 [15.08.24]
      WebSite: www.safezone.cc
      DateLog: 09.05.2025 18:25:29
      Path starting: C:\Users\Емельян\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
      Log directory: C:\SecurityCheck\
      IsAdmin: True
      User: Emelian
      VersionXML: 13.80is-05.05.2025
      ___________________________________________________________________________
      Windows 11 Professional (x64) Версия: 24H2 (10.0.26100.3915) Язык: Russian(0419)
      Дата установки ОС: 25.11.2024 07:02:43
      Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
      Режим загрузки: Normal
      Браузер по умолчанию: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
      Системный диск: 😄 ФС: [NTFS] Емкость: [475.9 Гб] Занято: [339.8 Гб] Свободно: [136.1 Гб]
      ------------------------------- [ Windows ] -------------------------------
      Контроль учётных записей пользователя включен (Уровень 3)
      Центр обеспечения безопасности (wscsvc) - Служба работает
      Удаленный реестр (RemoteRegistry) - Служба остановлена
      Обнаружение SSDP (SSDPSRV) - Служба работает
      Службы удаленных рабочих столов (TermService) - Служба остановлена
      Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
      Фоновая интеллектуальная служба передачи (BITS) (BITS) - Служба остановлена
      Оптимизация доставки (DoSvc) - Служба работает
      Служба "Безопасность Windows" (SecurityHealthService) - Служба работает
      Служба оркестратора обновлений (UsoSvc) - Служба работает
      WaaSMedicSvc (WaaSMedicSvc) - Служба остановлена
      Центр обновления Windows (wuauserv) - Служба остановлена
      ---------------------------- [ Antivirus_WMI ] ----------------------------
      Windows Defender (выключен и обновлен)
      Kaspersky Anti-Virus (включен и обновлен)
      --------------------------- [ FirewallWindows ] ---------------------------
      Брандмауэр Защитника Windows (mpssvc) - Служба работает
      ---------------------- [ AntiVirusFirewallInstall ] -----------------------
      Kaspersky Anti-Virus v.21.3.10.391
      -------------------------- [ SecurityUtilities ] --------------------------
      Kaspersky Password Manager v.25.0.0.225
      --------------------------- [ OtherUtilities ] ----------------------------
      Среда выполнения Microsoft Edge WebView2 Runtime v.136.0.3240.50
      Steam v.2.10.91.91
      Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0
      Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0
      ------------------------------- [ Backup ] --------------------------------
      Microsoft OneDrive v.25.065.0406.0002
      ---------------------------- [ ProxyAndVPNs ] -----------------------------
      PlanetVPN-2.10.30.68 v.2.10.30.68
      ------------------------------- [ Browser ] -------------------------------
      Microsoft Edge v.136.0.3240.50
      ------------------ [ AntivirusFirewallProcessServices ] -------------------
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.3\avp.exe v.21.3.0.1
      Kaspersky Anti-Virus Service 21.3 (AVP21.3) - Служба работает
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.3\avpui.exe v.21.3.12.434
      Microsoft Defender Core Service (MDCoreSvc) - Служба остановлена
      Microsoft Defender Antivirus Service (WinDefend) - Служба остановлена
      Microsoft Defender Antivirus Network Inspection Service (WdNisSvc) - Служба остановлена
      ----------------------------- [ End of Log ] ------------------------------
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • gehrakl12
      Поймал жесткий майнер
      Автор gehrakl12
      Не удаляется через Avbr, ломает доктор веб, при этом нет явных признаков, типа закрытия браузера при переходе на страницу антивируса в браузере.Addition.txtFRST.txt
    • gehrakl12
      Поймал жесткий майнер
      Автор gehrakl12
      Не удаляется через Avbr, ломает доктор веб, при этом нет явных признаков, типа закрытия браузера при переходе на страницу антивируса в браузере.Addition.txtFRST.txt
×
×
  • Создать...