Шифровальщик .vault

14 июля, 2016

Добрый день!

Пользователю прислали архив со ссылкой на вирус-шифровальщик, который он успешно запустил. Соответственно файлы с расширением .doc .xls .pdf были зашифрованы и стали с расширением .vault

Заранее спасибо.

CollectionLog-2016.07.14-10.28.zip

14 июля, 2016

Здравствуйте!

Комплект логов не полный, повторите еще раз. Антивирус на время диагностики отключаете?

14 июля, 2016

Здравствуйте!

Комплект логов не полный, повторите еще раз. Антивирус на время диагностики отключаете?

Да, отключал. Удалил антивирус, состав лога не меняется.

14 июля, 2016

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 100000, false)
else ExecuteFile('7za.pif', CMDLine, 0, 100000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.7z из папки с AutoLogger пожалуйста прикрепите к своему сообщению.

14 июля, 2016

готово.

Report.7z

14 июля, 2016

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

14 июля, 2016

Сделал.

Addition.txt

FRST.txt

Shortcut.txt

14 июля, 2016

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2016-07-14 08:28 - 2016-07-14 08:28 - 00279238 _____ C:\Documents and Settings\zakharyan_sv.POWERM\Application Data\CONFIRMATION.KEY
2016-07-14 08:28 - 2016-07-14 08:28 - 00004109 ____N C:\Documents and Settings\zakharyan_sv.POWERM\Рабочий стол\VAULT.hta
2016-07-14 08:28 - 2016-07-14 08:28 - 00004109 _____ C:\VAULT.hta
2016-07-14 08:28 - 2016-07-14 08:28 - 00004109 _____ C:\Documents and Settings\zakharyan_sv.POWERM\Application Data\VAULT.hta
2016-07-14 08:28 - 2016-07-14 08:28 - 00001587 _____ C:\VAULT.KEY
2016-07-14 08:28 - 2016-07-14 08:28 - 00001587 _____ C:\Documents and Settings\zakharyan_sv.POWERM\Рабочий стол\VAULT.KEY
2016-07-14 08:28 - 2016-07-14 08:28 - 00001587 _____ C:\Documents and Settings\zakharyan_sv.POWERM\Application Data\VAULT.KEY
C:\Documents and Settings\zakharyan_sv.POWERM\Local Settings\Temp\ec5bed557fe.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

14 июля, 2016

готово

Fixlog.txt

14 июля, 2016

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
file: C:\FRST\Quarantine\C:\Documents and Settings\zakharyan_sv.POWERM\Local Settings\Temp\ec5bed557fe.exe

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

14 июля, 2016

Готово

Fixlog.txt

14 июля, 2016

@Stogrammus, пожалуйста, для выяснения причин неполного сбора начальных логов попробуйте собрать их с помощью Автологера в безопасном режиме. В первом диалоговом окне, удерживая нажатой клавишу Shift, нажмите ОК. Результат в виде CollectionLog прикрепите к следующему сообщению.

14 июля, 2016

В безопасном режиме такой же, неполный лог.

CollectionLog-2016.07.14-16.12.zip

14 июля, 2016

Еще одна просьба:

в папке Autologger есть под-папки RSIT и Hijackthis. Запустите последовательно из одной и из другой утилиты. Если получатся логи, прикрепите.

15 июля, 2016

Готово

HiJackThis.log

hijackthis1.log

log.txt

Шифровальщик .vault

Рекомендуемые сообщения

Stogrammus

Sandor

Stogrammus

Sandor

Stogrammus

Sandor

Stogrammus

Sandor

Stogrammus

mike 1

Stogrammus

Sandor

Stogrammus

Sandor

Stogrammus

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum