Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Поймали Vault

egor.bolotov
 Поделиться

Рекомендуемые сообщения

egor.bolotov Новичок

egor.bolotov

Опубликовано
Опубликовано

Доброго дня! Друзья, нужна помощь, подхватили на одной машине Vault.

зашифрованы ворд и эксель, при чем я так понял что шифрование приостановилось, так как дальше чем последний отслеживаемый файл шифровка не идет уже два дня комп включен. Комп подключен к сети - отключил так как переживаю что бы не полезло на другие компы. Инфы много и важной он зашифровал, но главное это очистить комп от заразы, Подскажите что и как делать?)

что было сделано)

1. Vault.hta лежит на рабочем столе. ничего не удалялось все как есть.

2. требований от злоумышлеников нет (страничка соответствующая отсутствует)

3. Таск менеджер указал что файл неактивный (написал в скобочках), было всплывающее окошко с SchedulingAgent, после удаления в таск менеджер при загрузке оно больше не загружается.

4. на данный момент проверил всё авастом - ничего не нашел, сейчас проверяю этим - http://antifraud.drweb.ru/encryption_trojs/?lng=ru

Спасибо за помощь!

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Я не доверяю всяким там псевдоантивирусам вроде Аваста.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на комментарий
Поделиться на другие сайты
egor.bolotov Новичок

egor.bolotov

Опубликовано
  • Автор
Опубликовано

Я не доверяю всяким там псевдоантивирусам вроде Аваста.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

проверил вторым антивиром доктор веб но проверка была поверхностной по ссылке что указывал заняла минут 20 ошибок нет. прикрепляю логи.CollectionLog-2015.11.27-14.19.zipCollectionLog-2015.11.27-14.19.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

пофиксите в Hijackthis

O2 - BHO: (no name) - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O4 - .DEFAULT Startup: VAULT.hta    ->    
O4 - S-1-5-18 Startup: VAULT.hta    ->    
O4 - S-1-5-19 Startup: VAULT.hta    ->    
O4 - S-1-5-20 Startup: VAULT.hta    ->    
O4 - Startup: VAULT.hta    ->    
O9 - Extra button: (no name) - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

повторите стандартные логи (архив не полный)
Ссылка на комментарий
Поделиться на другие сайты
egor.bolotov Новичок

egor.bolotov

Опубликовано
  • Автор
Опубликовано

 

пофиксите в Hijackthis

O2 - BHO: (no name) - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O4 - .DEFAULT Startup: VAULT.hta    ->    
O4 - S-1-5-18 Startup: VAULT.hta    ->    
O4 - S-1-5-19 Startup: VAULT.hta    ->    
O4 - S-1-5-20 Startup: VAULT.hta    ->    
O4 - Startup: VAULT.hta    ->    
O9 - Extra button: (no name) - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

повторите стандартные логи (архив не полный)

 

 

ну вот как получилось, посмотри пожалуйста, при выборе фикс Vault пишет вот такую вещь

HiJackThis.log

post-36522-0-46230900-1448868239_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
egor.bolotov Новичок

egor.bolotov

Опубликовано
  • Автор
Опубликовано

запускайте от имени администратора Hijackthis

 

ждём полный набор логов атологгера

Hijackthis запускаю от администратора. выбираю там Vault но ничего не происходит(

что из этого фиксить? тут уже вообще Vault нету

CollectionLog-2015.11.30-15.52.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
 DeleteFile('C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O2 - BHO: AlterGeo Magic Scanner - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O4 - Startup: VAULT.hta
O20 - Winlogon Notify: ScCertProp   - Invalid registry found
 
Сделайте новые логи по правилам (только пункт 2).

+
логи FRST
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696
 

Ссылка на комментарий
Поделиться на другие сайты
egor.bolotov Новичок

egor.bolotov

Опубликовано
  • Автор
Опубликовано

@egor.bolotov, скрипт нужно копировать полностью, включая точку после слова end. 

 

 

Спасибо тебе больше я совсем уже ничего не вижу))))))))))))

выполнил первый скрипт, перезагрузился, начал выполнять второй скрипт - пишет что скрипт выполнен без ошибок и папка архивная с карантином пустая. в  HijackThis всех трех строк нет. прикрепляю новые логи.

CollectionLog-2015.12.01-14.57.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • Vklass
      Поймал вирус .encrypted
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • Snedikk
      Поймал майнер tool.btcmine.2812
      Автор Snedikk
      Добрый день! 
      Поймал вирус-майнер tool.btcmine.2812. Недавно был похожий троян, но по рекомендациям с данного форума удалось его удалить посредством утилиты AVZ. Затем какое-то время все было хорошо. Сегодня решил проверить комп на наличие вирусов утилитой DrWeb CureIt и сия програмка показала наличие вредоносного червячка. Пробовал удалять его самой утилитой от DrWeb, но после перезагрузки он восстанавливается и все приходится делать снова. По инструкции просканировал комп и логи прикладываю к теме. Будьте добры помочь, люди. Заранее огромная благодарность
      CollectionLog-2025.06.20-19.07.zip

    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
×
×
  • Создать...