Закрыто Вирус Vault

Тема в разделе "Лечение компьютерных вирусов", создана пользователем virt7777, 5 июл 2016.

Метки:
Статус темы:
Закрыта.
  1. virt7777
    Оффлайн

    virt7777 Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    В середине июня 2016 года пришло письмо на сверку акт-сверки от фирмы, с которой работает.

    В приложении был файлик и я без задней мысли его открыл. В итоге оказался вирус, который зашифровал все файлы и переименовал их в Vault. Обращался к доктору, он не смог помочь. Может быть Вы сможете мне помочь в моей проблеме.
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.979
    Здравствуйте.
    neroxml сами устанавливали?Знакомая программа?
    Torrentex, версия 0.1.4b деинсталлируйте.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

      begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Windows\system32\WTdNwBCmIXpqXv.exe', '');
     QuarantineFile('C:\Windows\SysWOW64\WTdNwBCmIXpqXv.exe', '');
     QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '');
     DeleteFile('C:\Windows\system32\WTdNwBCmIXpqXv.exe', '32');
     DeleteFile('C:\Windows\SysWOW64\WTdNwBCmIXpqXv.exe', '32');
     DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gVpgYer_BwrKiLfAFVmtIACedJ');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  3. virt7777
    Оффлайн

    virt7777 Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Здравствуйте уважаемый Koza Nozdri!

    Благодарю Вас за выделенное время. По поводу neroxml устанавливал не я и с ней не работал.
    Torrentex, версия 0.1.4b Удалил в конце.
    Остальное все делал по вашей инструкции. В приложении файлы.
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.979
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

     begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
      ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
       QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '');
       QuarantineFile('C:\Windows\system32\WTdNwBCmIXpqXv.exe', '');
       DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '32');
       DeleteFile('C:\Windows\system32\WTdNwBCmIXpqXv.exe', '32');
      RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gVpgYer_BwrKiLfAFVmtIACedJ');
      CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    FF Extension: Fast search v 0.25 - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\92k889j8.default\extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2016-06-10] [not signed]
    2016-06-23 10:17 - 2016-06-23 10:17 - 00004121 ____N C:\Users\Александр\Desktop\VAULT.hta
    2016-06-23 10:17 - 2016-06-23 10:17 - 00004121 _____ C:\VAULT.hta
    2016-06-23 10:17 - 2016-06-23 10:17 - 00004121 _____ C:\Users\Александр\AppData\Roaming\VAULT.hta
    2016-06-23 10:17 - 2016-06-23 10:17 - 00001591 _____ C:\VAULT.KEY
    2016-06-23 10:17 - 2016-06-23 10:17 - 00001591 _____ C:\Users\Александр\Desktop\VAULT.KEY
    2016-06-23 10:17 - 2016-06-23 10:17 - 00001591 _____ C:\Users\Александр\AppData\Roaming\VAULT.KEY
    2016-06-23 10:17 - 2016-06-23 10:17 - 2113024 _____ () C:\Users\Александр\AppData\Roaming\CONFIRMATION.KEY
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Файл C:\Users\Александр\Desktop\dec_66508c49f1422865.exe проверьте на virustotal
    --- Объединённое сообщение, 11 июл 2016 ---
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  5. virt7777
    Оффлайн

    virt7777 Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    В приложении...
     

    Вложения:

  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.226
    Симпатии:
    4.979
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
    Удалите папку c:\frst
    С расшифровкой не поможем.

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.

    Выполните рекомендации после лечения.
     
Статус темы:
Закрыта.

Поделиться этой страницей