Перейти к содержанию

Как вылечить шифровальщик vault

Максим63
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteService('BAPIDRV');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','32');
 DeleteFile('C:\Users\пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','32');
 DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
 DeleteFile('C:\Windows\system32\Tasks\DSite','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера
 

Сделайте новые логи Автологгером. 
 

 

Ссылка на комментарий
Поделиться на другие сайты
Максим63

Максим63

Опубликовано
  • Автор
Опубликовано (изменено)

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteService('BAPIDRV');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','32');
 DeleteFile('C:\Users\пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','32');
 DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
 DeleteFile('C:\Windows\system32\Tasks\DSite','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера
 

Сделайте новые логи Автологгером. 
 

 

Новый лог, заранее спасибо.

CollectionLog-2016.10.19-11.03.zip

Изменено пользователем Максим63
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Максим63

Максим63

Опубликовано
  • Автор
Опубликовано

 

  •  
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.

 

готов.

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты
Максим63

Максим63

Опубликовано
  • Автор
Опубликовано

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

AdwCleanerC0.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
Максим63

Максим63

Опубликовано
  • Автор
Опубликовано

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CloseProcesses:

HKLM\...\Run: [] => [X]

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://xn--80afat5b.xn--p1ai

BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File

Toolbar: HKU\S-1-5-21-847652492-2851142530-2448844639-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File

FF Extension: (DealPly Shopping) - C:\Users\пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\amo@dealplyshopping.com [2013-04-23] [not signed]

2016-10-18 09:33 - 2016-10-18 09:33 - 00491520 _____ C:\Users\пользователь\AppData\Roaming\CONFIRMATION.KEY

2016-10-18 09:33 - 2016-10-18 09:33 - 00005016 _____ C:\Users\пользователь\AppData\Roaming\VAULT.hta

2016-10-18 09:33 - 2016-10-18 09:33 - 00001613 _____ C:\Users\пользователь\AppData\Roaming\VAULT.KEY

2013-07-29 09:22 - 2014-11-26 11:22 - 0000179 _____ () C:\Users\пользователь\AppData\Roaming\WB.CFG

2013-07-08 11:44 - 2013-07-08 11:44 - 0000005 _____ () C:\Users\пользователь\AppData\Roaming\WBPU-Q3-TTL.DAT

2013-07-12 11:22 - 2013-07-12 11:22 - 0000005 _____ () C:\Users\пользователь\AppData\Roaming\WBPU-Q5-TTL.DAT

2013-07-05 12:22 - 2013-11-22 10:59 - 0000006 _____ () C:\Users\пользователь\AppData\Roaming\WBPU-TTL.DAT

Task: {70FFA0F7-2295-4EDC-A00E-F5FADA103138} - \DealPly -> No File <==== ATTENTION

Task: {D1A5F833-3A16-49F5-89DF-ACF253B06FFC} - System32\Tasks\QtraxPlayer => 4252937773.portal.qtrax.com

FirewallRules: [{ABE85933-5E83-4FBD-9E26-4593F4579510}] => (Allow) C:\Program Files\360\Total Security\safemon\QHSafeTray.exe

FirewallRules: [{7B57D201-D39E-44AB-B52E-00118013B6D5}] => (Allow) C:\Program Files\360\Total Security\safemon\QHSafeTray.exe

FirewallRules: [{9E901F28-CBB3-4616-82AE-2F2DA07A99C2}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe

FirewallRules: [{39CCE9D3-69B4-48C5-AB36-2831A2BF5C3C}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
Максим63

Максим63

Опубликовано
  • Автор
Опубликовано

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CloseProcesses:
HKLM\...\Run: [] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://xn--80afat5b.xn--p1ai
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-847652492-2851142530-2448844639-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: (DealPly Shopping) - C:\Users\пользователь\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\amo@dealplyshopping.com [2013-04-23] [not signed]
2016-10-18 09:33 - 2016-10-18 09:33 - 00491520 _____ C:\Users\пользователь\AppData\Roaming\CONFIRMATION.KEY
2016-10-18 09:33 - 2016-10-18 09:33 - 00005016 _____ C:\Users\пользователь\AppData\Roaming\VAULT.hta
2016-10-18 09:33 - 2016-10-18 09:33 - 00001613 _____ C:\Users\пользователь\AppData\Roaming\VAULT.KEY
2013-07-29 09:22 - 2014-11-26 11:22 - 0000179 _____ () C:\Users\пользователь\AppData\Roaming\WB.CFG
2013-07-08 11:44 - 2013-07-08 11:44 - 0000005 _____ () C:\Users\пользователь\AppData\Roaming\WBPU-Q3-TTL.DAT
2013-07-12 11:22 - 2013-07-12 11:22 - 0000005 _____ () C:\Users\пользователь\AppData\Roaming\WBPU-Q5-TTL.DAT
2013-07-05 12:22 - 2013-11-22 10:59 - 0000006 _____ () C:\Users\пользователь\AppData\Roaming\WBPU-TTL.DAT
Task: {70FFA0F7-2295-4EDC-A00E-F5FADA103138} - \DealPly -> No File <==== ATTENTION
Task: {D1A5F833-3A16-49F5-89DF-ACF253B06FFC} - System32\Tasks\QtraxPlayer => 4252937773.portal.qtrax.com
FirewallRules: [{ABE85933-5E83-4FBD-9E26-4593F4579510}] => (Allow) C:\Program Files\360\Total Security\safemon\QHSafeTray.exe
FirewallRules: [{7B57D201-D39E-44AB-B52E-00118013B6D5}] => (Allow) C:\Program Files\360\Total Security\safemon\QHSafeTray.exe
FirewallRules: [{9E901F28-CBB3-4616-82AE-2F2DA07A99C2}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe
FirewallRules: [{39CCE9D3-69B4-48C5-AB36-2831A2BF5C3C}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

С расшифровкой не поможем. Смените все пароли.

 

Как вариант, восстанавливайте что сможете из теневых копий

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владимир А.К.
      [РЕШЕНО] Не могу вылечить вирусы HEUR:Trojan.Multi.GenBadur.genw, HEUR:Trojan.JS.Trolec.gen и HEUR:Trojan.Script.Agent.gen
      Автор Владимир А.К.
      Здравствуйте! Пожалуйста, помогите с удалением вируса.
      После проверки диска "С" программой Kaspersky Virus Removal Tool были найдены 32 вируса, большая часть уничтожена, остались три трояна, которые никак не удаляются. Проверял KVRT пять или шесть раз. (Есть другие жёсткие диски, но их пока проверить не успел).
      Установить, откуда и когда появились трояны, сложно. Никакие сайты автоматически не запускаются, в работе компьютера ничто напрямую не говорит о наличии вирусов, из необычного - потеря свободного места на диске "С" (за последние два месяца "пропали" около 4 гигов).

      CollectionLog-2025.07.26-19.55.zip
    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Шифровальщик blackFL
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
    • Restinn
      Шифровальщик blackFL
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
×
×
  • Создать...