Поймали Vault

[egor.bolotov]

Доброго дня! Друзья, нужна помощь, подхватили на одной машине Vault.

зашифрованы ворд и эксель, при чем я так понял что шифрование приостановилось, так как дальше чем последний отслеживаемый файл шифровка не идет уже два дня комп включен. Комп подключен к сети - отключил так как переживаю что бы не полезло на другие компы. Инфы много и важной он зашифровал, но главное это очистить комп от заразы, Подскажите что и как делать?)

что было сделано)

1. Vault.hta лежит на рабочем столе. ничего не удалялось все как есть.

2. требований от злоумышлеников нет (страничка соответствующая отсутствует)

3. Таск менеджер указал что файл неактивный (написал в скобочках), было всплывающее окошко с SchedulingAgent, после удаления в таск менеджер при загрузке оно больше не загружается.

4. на данный момент проверил всё авастом - ничего не нашел, сейчас проверяю этим - http://antifraud.drweb.ru/encryption_trojs/?lng=ru

Спасибо за помощь!

[mike 1]

Я не доверяю всяким там псевдоантивирусам вроде Аваста.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[egor.bolotov]

Я не доверяю всяким там псевдоантивирусам вроде Аваста.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

проверил вторым антивиром доктор веб но проверка была поверхностной по ссылке что указывал заняла минут 20 ошибок нет. прикрепляю логи.CollectionLog-2015.11.27-14.19.zipCollectionLog-2015.11.27-14.19.zip

[Roman_Five]

пофиксите в Hijackthis

O2 - BHO: (no name) - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O4 - .DEFAULT Startup: VAULT.hta    ->    
O4 - S-1-5-18 Startup: VAULT.hta    ->    
O4 - S-1-5-19 Startup: VAULT.hta    ->    
O4 - S-1-5-20 Startup: VAULT.hta    ->    
O4 - Startup: VAULT.hta    ->    
O9 - Extra button: (no name) - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

повторите стандартные логи (архив не полный)

[egor.bolotov]

 

пофиксите в Hijackthis

O2 - BHO: (no name) - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O4 - .DEFAULT Startup: VAULT.hta    ->    
O4 - S-1-5-18 Startup: VAULT.hta    ->    
O4 - S-1-5-19 Startup: VAULT.hta    ->    
O4 - S-1-5-20 Startup: VAULT.hta    ->    
O4 - Startup: VAULT.hta    ->    
O9 - Extra button: (no name) - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

повторите стандартные логи (архив не полный)

 

 

ну вот как получилось, посмотри пожалуйста, при выборе фикс Vault пишет вот такую вещь

HiJackThis.log

[Roman_Five]

запускайте от имени администратора Hijackthis

ждём полный набор логов атологгера

[egor.bolotov]

запускайте от имени администратора Hijackthis

 

ждём полный набор логов атологгера

Hijackthis запускаю от администратора. выбираю там Vault но ничего не происходит(

что из этого фиксить? тут уже вообще Vault нету

CollectionLog-2015.11.30-15.52.zip

hijackthis.log

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
 DeleteFile('C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: AlterGeo Magic Scanner - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O4 - Startup: VAULT.hta
O20 - Winlogon Notify: ScCertProp   - Invalid registry found

 

Сделайте новые логи по правилам (только пункт 2).

+
логи FRST
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696
 

[egor.bolotov]

не удается выполнить первый скрипт

[Sandor]

@egor.bolotov, скрипт нужно копировать полностью, включая точку после слова end. 

[egor.bolotov]

@egor.bolotov, скрипт нужно копировать полностью, включая точку после слова end. 

 

 

Спасибо тебе больше я совсем уже ничего не вижу))))))))))))

выполнил первый скрипт, перезагрузился, начал выполнять второй скрипт - пишет что скрипт выполнен без ошибок и папка архивная с карантином пустая. в  HijackThis всех трех строк нет. прикрепляю новые логи.

CollectionLog-2015.12.01-14.57.zip

[Roman_Five]

 

 

+ логи FRST http://forum.kaspers...611?do=findComment&comment=647696 

[egor.bolotov]

 

+ логи FRST http://forum.kaspers...611?do=findComment&comment=647696

 

 

сделал

Addition.txt

FRST.txt