Вирус-шифровальщик .vault

[Spanden]

Здравствуйте.

Прошу помощи с шифровальщиком .vault

CollectionLog-2016.07.19-11.28.zip

[SQ]

Здравствуйте,
 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Common Files\2B4FEA90-0C80-4AC2-A413-D8F0C600AFA8\7B858EE3-5AFD-43C3-B1E4-1AC4653322A0.exe','');
 QuarantineFile('C:\Program Files (x86)\Digt\Trusted\Desktop\ShellExtention.dll','');
 QuarantineFile('C:\Program Files\contentprotector\condefclean.exe','');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectordrv.sys','');
 QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe','');
 QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe','');
 QuarantineFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','');
 QuarantineFile('C:\Program Files\contentprotector\nss\nspr4.dll','');
 QuarantineFile('C:\Program Files\contentprotector\nss\nss3.dll','');
 QuarantineFile('C:\Program Files\contentprotector\nss\plc4.dll','');
 QuarantineFile('C:\Program Files\contentprotector\nss\plds4.dll','');
 QuarantineFile('C:\Program Files\contentprotector\nss\smime3.dll','');
 QuarantineFile('C:\Program Files\contentprotector\nss\softokn3.dll','');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','');
 QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','');
 QuarantineFile('C:\Windows\WinSxS\x86_cifrovietehnologii.trustedtls.crypto_a9b3f42962e3aa3a_3.0.0.609_none_6ae69a91ec089076\LIBEAY32.dll','');
 DeleteFile('C:\Program Files (x86)\Common Files\2B4FEA90-0C80-4AC2-A413-D8F0C600AFA8\7B858EE3-5AFD-43C3-B1E4-1AC4653322A0.exe','32');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectordrv.sys','32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)


- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Spanden]

[KLAN-4706741451]

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

 

ShellExtention.dll,

conprotsetup.exe,

VAULT.hta,

LIBEAY32.dll

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

condefclean.exe,

contentprotectorconrol.exe,

import_root_cert.exe,

certutil.exe,

mozcrt19.dll,

nspr4.dll,

nss3.dll,

plc4.dll,

plds4.dll,

smime3.dll,

softokn3.dll - not-a-virus:NetTool.Win64.NetFilter.jd

contentprotectordrv.sys - not-a-virus:NetTool.Win64.NetFilter.lf

 

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

AdwCleanerS1.txt

[Spanden]

когда будет ответ?

[SQ]

- Подготовьте новый лог AdwCleaner и приложите его в теме.

[Spanden]

вот

AdwCleanerS2.txt

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Spanden]

сделал

AdwCleanerC1.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

[Spanden]

готово

Addition.txt

FRST.txt

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  HKLM-x32\...\Run: [] => [X]
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
  FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
  2016-07-19 09:27 - 2016-07-19 09:27 - 06667192 _____ C:\Users\User\AppData\Roaming\CONFIRMATION.KEY
  2016-07-19 09:27 - 2016-07-19 09:27 - 00004097 ____N C:\Users\User\Desktop\VAULT.hta
  2016-07-19 09:27 - 2016-07-19 09:27 - 00004097 _____ C:\VAULT.hta
  2016-07-19 09:27 - 2016-07-19 09:27 - 00004097 _____ C:\Users\User\AppData\Roaming\VAULT.hta
  2016-07-19 09:27 - 2016-07-19 09:27 - 00001585 _____ C:\VAULT.KEY
  2016-07-19 09:27 - 2016-07-19 09:27 - 00001585 _____ C:\Users\User\Desktop\VAULT.KEY
  2016-07-19 09:27 - 2016-07-19 09:27 - 00001585 _____ C:\Users\User\AppData\Roaming\VAULT.KEY
  2016-07-19 09:27 - 2016-07-19 09:27 - 6667192 _____ () C:\Users\User\AppData\Roaming\CONFIRMATION.KEY
  2015-04-19 17:20 - 2015-04-19 17:20 - 0005872 _____ () C:\Users\User\AppData\Roaming\HyT5aup97
  2015-11-19 15:04 - 2015-11-19 15:04 - 0000000 _____ () C:\Users\User\AppData\Roaming\smw_inst
  2016-07-19 09:27 - 2016-07-19 09:27 - 0004097 _____ () C:\Users\User\AppData\Roaming\VAULT.hta
  2016-07-19 09:27 - 2016-07-19 09:27 - 0001585 _____ () C:\Users\User\AppData\Roaming\VAULT.KEY
  C:\Users\User\AppData\Local\Temp\condefclean.exe
  File: C:\Users\User\2e668757-eddd-44b5-a4f8-dbe0ce1e238f_nativecryptolib_x86.dll
  Task: {0B7FC337-9D80-4A0A-9789-AD6FFFF110A4} - \Microsoft\Windows\EB41FE6E-7CA3-409C-84A6-E0F0D4AC584A -> No File <==== ATTENTION
  Task: {3D684130-A16E-408B-82E3-D8E7D4C13746} - \Microsoft\Windows\AEB41FE6E-7CA3-409C-84A6-E0F0D4AC584A -> No File <==== ATTENTION
  Task: {597ADC58-F5E5-4903-8407-C0C8A0E7310A} - \SafeBrowser -> No File <==== ATTENTION
  Task: {A3113888-D4B1-4E31-9046-CE8BCF0881B0} - \extsetup -> No File <==== ATTENTION
  Task: {B0C77EEE-8AA0-467E-972F-565CCF6565AB} - \KRB Updater Utility -> No File <==== ATTENTION
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_en_77]
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Spanden]

лог-файл

Fixlog.txt

[SQ]

Если есть лицензия на продукты Лаборатории Касперского пробуйте - http://forum.kasperskyclub.ru/index.php?showtopic=48525(но гарантий нет, что смогут помочь)

P.S. Пока не решите вопрос с расшифровкой не удаляйте каталог C:\FRST

[Spanden]

спасибо