Перейти к содержанию

Вирус-шифровальщик .vault


Рекомендуемые сообщения

Здравствуйте,
 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Common Files\2B4FEA90-0C80-4AC2-A413-D8F0C600AFA8\7B858EE3-5AFD-43C3-B1E4-1AC4653322A0.exe','');
 QuarantineFile('C:\Program Files (x86)\Digt\Trusted\Desktop\ShellExtention.dll','');
 QuarantineFile('C:\Program Files\contentprotector\condefclean.exe','');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectordrv.sys','');
 QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe','');
 QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe','');
 QuarantineFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','');
 QuarantineFile('C:\Program Files\contentprotector\nss\nspr4.dll','');
 QuarantineFile('C:\Program Files\contentprotector\nss\nss3.dll','');
 QuarantineFile('C:\Program Files\contentprotector\nss\plc4.dll','');
 QuarantineFile('C:\Program Files\contentprotector\nss\plds4.dll','');
 QuarantineFile('C:\Program Files\contentprotector\nss\smime3.dll','');
 QuarantineFile('C:\Program Files\contentprotector\nss\softokn3.dll','');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
 QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','');
 QuarantineFile('C:\Windows\WinSxS\x86_cifrovietehnologii.trustedtls.crypto_a9b3f42962e3aa3a_3.0.0.609_none_6ae69a91ec089076\LIBEAY32.dll','');
 DeleteFile('C:\Program Files (x86)\Common Files\2B4FEA90-0C80-4AC2-A413-D8F0C600AFA8\7B858EE3-5AFD-43C3-B1E4-1AC4653322A0.exe','32');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectordrv.sys','32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)


- Подготовьте лог AdwCleaner и приложите его в теме.
 

Ссылка на комментарий
Поделиться на другие сайты

[KLAN-4706741451]

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

 

ShellExtention.dll,

conprotsetup.exe,

VAULT.hta,

LIBEAY32.dll

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

condefclean.exe,

contentprotectorconrol.exe,

import_root_cert.exe,

certutil.exe,

mozcrt19.dll,

nspr4.dll,

nss3.dll,

plc4.dll,

plds4.dll,

smime3.dll,

softokn3.dll - not-a-virus:NetTool.Win64.NetFilter.jd

contentprotectordrv.sys - not-a-virus:NetTool.Win64.NetFilter.lf

 

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

AdwCleanerS1.txt

Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
    FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
    2016-07-19 09:27 - 2016-07-19 09:27 - 06667192 _____ C:\Users\User\AppData\Roaming\CONFIRMATION.KEY
    2016-07-19 09:27 - 2016-07-19 09:27 - 00004097 ____N C:\Users\User\Desktop\VAULT.hta
    2016-07-19 09:27 - 2016-07-19 09:27 - 00004097 _____ C:\VAULT.hta
    2016-07-19 09:27 - 2016-07-19 09:27 - 00004097 _____ C:\Users\User\AppData\Roaming\VAULT.hta
    2016-07-19 09:27 - 2016-07-19 09:27 - 00001585 _____ C:\VAULT.KEY
    2016-07-19 09:27 - 2016-07-19 09:27 - 00001585 _____ C:\Users\User\Desktop\VAULT.KEY
    2016-07-19 09:27 - 2016-07-19 09:27 - 00001585 _____ C:\Users\User\AppData\Roaming\VAULT.KEY
    2016-07-19 09:27 - 2016-07-19 09:27 - 6667192 _____ () C:\Users\User\AppData\Roaming\CONFIRMATION.KEY
    2015-04-19 17:20 - 2015-04-19 17:20 - 0005872 _____ () C:\Users\User\AppData\Roaming\HyT5aup97
    2015-11-19 15:04 - 2015-11-19 15:04 - 0000000 _____ () C:\Users\User\AppData\Roaming\smw_inst
    2016-07-19 09:27 - 2016-07-19 09:27 - 0004097 _____ () C:\Users\User\AppData\Roaming\VAULT.hta
    2016-07-19 09:27 - 2016-07-19 09:27 - 0001585 _____ () C:\Users\User\AppData\Roaming\VAULT.KEY
    C:\Users\User\AppData\Local\Temp\condefclean.exe
    File: C:\Users\User\2e668757-eddd-44b5-a4f8-dbe0ce1e238f_nativecryptolib_x86.dll
    Task: {0B7FC337-9D80-4A0A-9789-AD6FFFF110A4} - \Microsoft\Windows\EB41FE6E-7CA3-409C-84A6-E0F0D4AC584A -> No File <==== ATTENTION
    Task: {3D684130-A16E-408B-82E3-D8E7D4C13746} - \Microsoft\Windows\AEB41FE6E-7CA3-409C-84A6-E0F0D4AC584A -> No File <==== ATTENTION
    Task: {597ADC58-F5E5-4903-8407-C0C8A0E7310A} - \SafeBrowser -> No File <==== ATTENTION
    Task: {A3113888-D4B1-4E31-9046-CE8BCF0881B0} - \extsetup -> No File <==== ATTENTION
    Task: {B0C77EEE-8AA0-467E-972F-565CCF6565AB} - \KRB Updater Utility -> No File <==== ATTENTION
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_en_77]
    Reboot:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Если есть лицензия на продукты Лаборатории Касперского пробуйте - http://forum.kasperskyclub.ru/index.php?showtopic=48525(но гарантий нет, что смогут помочь)

P.S. Пока не решите вопрос с расшифровкой не удаляйте каталог C:\FRST

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Radik_Gilmanov
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
×
×
  • Создать...