Finch Опубликовано 25 мая, 2016 Share Опубликовано 25 мая, 2016 Здравствуйте. На компьютер попал вирус шифровальщик Vault. Все файлы Office, PDF, изображения и zip архивы зашифрованы в файлы с одноименным расширением. На рабочем столе баннер вируса, закрывающий почти 80% места. Так же на рабочем столе задан файл VAULT.hta. В процессах висит процесс mshta.exe (При его завершении баннер пропадает). Антивирус Касперского его не находит, как и утилиты Cureit и KVRT. Логи прикрепляю. На ПК используется Ammy Admin и Radmin, так же имеются "доработки" для его использования в качестве "сервера терминалов" путем подключения нескольких пользователей посредствам удаленного рабочего стола. CollectionLog-2016.05.25-18.51.zip report1.log report2.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 25 мая, 2016 Share Опубликовано 25 мая, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Finch Опубликовано 26 мая, 2016 Автор Share Опубликовано 26 мая, 2016 (изменено) Сканирование проведено. Архив с полученными логами прилагаю. Также при входе в корзину был найден тот самый .js файл, что был скачан и запущен пользователем. Касперский идентифицировал его как Trojan.JS.agent.dgt и сразу же удалил. FRST.rar Изменено 26 мая, 2016 пользователем Finch Ссылка на комментарий Поделиться на другие сайты More sharing options...
Finch Опубликовано 26 мая, 2016 Автор Share Опубликовано 26 мая, 2016 Дополнение, после перезагрузки сам баннер появляется снова, шифрования не происходит, новосозданные файлы остаются нетронутыми. В автозагрузке имеется VAULT.hta. Его можно пока удалить? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 26 мая, 2016 Share Опубликовано 26 мая, 2016 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0FO\adialhk.dll => No File AppInit_DLLs: ,C:\PROGRA~1\KASPER~1\KASPER~2.0FO\kloehk.dll => No File BHO: Визуальные закладки -> {C93F72A2-2162-4BBA-A07A-F13663C297A6} -> C:\Program Files\Yandex\YandexBarIE\fastdial.dll => No File Toolbar: HKLM - Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll No File Toolbar: HKU\.DEFAULT -> Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll No File 2016-05-25 14:26 - 2016-05-25 14:26 - 00004533 ____N C:\Documents and Settings\Санек\Рабочий стол\VAULT.hta 2016-05-25 14:26 - 2016-05-25 14:26 - 00004533 _____ C:\VAULT.hta 2016-05-25 14:26 - 2016-05-25 14:26 - 00004533 _____ C:\Documents and Settings\Санек\Application Data\VAULT.hta Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Finch Опубликовано 27 мая, 2016 Автор Share Опубликовано 27 мая, 2016 Все сделано. Файл прикрепляю. После перезагрузки опять появился баннер, удалил вручную vault.hta из автозагрузки. Больше баннер не появляется. Спасибо огромное Вам за помощь в борьбе с этой заразой. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 мая, 2016 Share Опубликовано 27 мая, 2016 С расшифровкой не сможем помочь Ссылка на комментарий Поделиться на другие сайты More sharing options...
Prorempc Опубликовано 27 мая, 2016 Share Опубликовано 27 мая, 2016 Здравствуйте. Скажите пожалуйста, получалось ли когда-нибудь расшифровать такие файлы? Я имею ввиду .VAULT Просмотрел несколько тем на вашем форуме и все они заканчивались приблизительно как и тут, т.е. "с расшифровкой не сможем помочь" По сути я тут именно по этому вопросу (расшифровка файлов .VAULT), но вот почитал и думаю, а стоит ли тратить время, если нет ни одного положительного результата? Или все же есть? Спасибо. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 мая, 2016 Share Опубликовано 27 мая, 2016 Какую-то одну давнюю версию расшифровывали Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти