Перейти к содержанию

Поймали Vault


Рекомендуемые сообщения

Доброго дня! Друзья, нужна помощь, подхватили на одной машине Vault.

зашифрованы ворд и эксель, при чем я так понял что шифрование приостановилось, так как дальше чем последний отслеживаемый файл шифровка не идет уже два дня комп включен. Комп подключен к сети - отключил так как переживаю что бы не полезло на другие компы. Инфы много и важной он зашифровал, но главное это очистить комп от заразы, Подскажите что и как делать?)

что было сделано)

1. Vault.hta лежит на рабочем столе. ничего не удалялось все как есть.

2. требований от злоумышлеников нет (страничка соответствующая отсутствует)

3. Таск менеджер указал что файл неактивный (написал в скобочках), было всплывающее окошко с SchedulingAgent, после удаления в таск менеджер при загрузке оно больше не загружается.

4. на данный момент проверил всё авастом - ничего не нашел, сейчас проверяю этим - http://antifraud.drweb.ru/encryption_trojs/?lng=ru

Спасибо за помощь!

Ссылка на комментарий
Поделиться на другие сайты

Я не доверяю всяким там псевдоантивирусам вроде Аваста.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на комментарий
Поделиться на другие сайты

Я не доверяю всяким там псевдоантивирусам вроде Аваста.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

проверил вторым антивиром доктор веб но проверка была поверхностной по ссылке что указывал заняла минут 20 ошибок нет. прикрепляю логи.CollectionLog-2015.11.27-14.19.zipCollectionLog-2015.11.27-14.19.zip

Ссылка на комментарий
Поделиться на другие сайты

пофиксите в Hijackthis

O2 - BHO: (no name) - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O4 - .DEFAULT Startup: VAULT.hta    ->    
O4 - S-1-5-18 Startup: VAULT.hta    ->    
O4 - S-1-5-19 Startup: VAULT.hta    ->    
O4 - S-1-5-20 Startup: VAULT.hta    ->    
O4 - Startup: VAULT.hta    ->    
O9 - Extra button: (no name) - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

повторите стандартные логи (архив не полный)
Ссылка на комментарий
Поделиться на другие сайты

 

пофиксите в Hijackthis

O2 - BHO: (no name) - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O4 - .DEFAULT Startup: VAULT.hta    ->    
O4 - S-1-5-18 Startup: VAULT.hta    ->    
O4 - S-1-5-19 Startup: VAULT.hta    ->    
O4 - S-1-5-20 Startup: VAULT.hta    ->    
O4 - Startup: VAULT.hta    ->    
O9 - Extra button: (no name) - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

повторите стандартные логи (архив не полный)

 

 

ну вот как получилось, посмотри пожалуйста, при выборе фикс Vault пишет вот такую вещь

HiJackThis.log

post-36522-0-46230900-1448868239_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

запускайте от имени администратора Hijackthis

 

ждём полный набор логов атологгера

Hijackthis запускаю от администратора. выбираю там Vault но ничего не происходит(

что из этого фиксить? тут уже вообще Vault нету

CollectionLog-2015.11.30-15.52.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
 DeleteFile('C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O2 - BHO: AlterGeo Magic Scanner - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O4 - Startup: VAULT.hta
O20 - Winlogon Notify: ScCertProp   - Invalid registry found
 
Сделайте новые логи по правилам (только пункт 2).

+
логи FRST
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696
 

Ссылка на комментарий
Поделиться на другие сайты

@egor.bolotov, скрипт нужно копировать полностью, включая точку после слова end. 

 

 

Спасибо тебе больше я совсем уже ничего не вижу))))))))))))

выполнил первый скрипт, перезагрузился, начал выполнять второй скрипт - пишет что скрипт выполнен без ошибок и папка архивная с карантином пустая. в  HijackThis всех трех строк нет. прикрепляю новые логи.

CollectionLog-2015.12.01-14.57.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • Lexarr
      От Lexarr
      Недавно обнаружил лаги на компе , решил скачать антивирус , провериться , так у меня все сайты с антивирусами сразу закрывались , диспетчер задач тоже закрывался , если заходить в системные папки «проводник» тоже закрывался , загрузил с флешки CureIt , он нашел майнер , удалил его , после перезагрузки майнер вернулся обратно 

      CollectionLog-2024.12.16-17.06.zip
    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • LeraB
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
×
×
  • Создать...