Форум программистов, компьютерный форум, киберфорум
Наши страницы

Лечение компьютерных вирусов

Войти
Регистрация
Восстановить пароль
 
Рейтинг: Рейтинг темы: голосов - 69, средняя оценка - 4.99
Tatia
0 / 0 / 0
Регистрация: 11.03.2015
Сообщений: 8
#1

Шифровальщик vault как его найти и обезвредить - Удаление вирусов

12.03.2015, 09:05. Просмотров 9073. Ответов 14
Метки нет (Все метки)

Добрый день!
Я одна из поймавших шифровальщик vault.
Получила 10.03. письмо по электронной почте от клиента, с которым переписываемся ежедневно. Распаковала на рабочий стол. Все файлы word, excell, частично: jpg и png, музыка и электронные книги- тоже все, получили расширения . vault. Я их не открывала, удалила все тут же. Выскочило окно в программе "Блокнот" с требованием найти ключ в компьютере, перейти на сайт... Как у всех моих собратьев по беде. Почитав форум, понимаю, что делала все не так как нужно бы было, но я полный профан в этих вопросах,сисадмина нет на предприятии,поэтому как есть... Итак, что сделала:
-удалила все файлы с изменившимся расширением, нашла их только на рабочем столе.
- на диске С (папка Temp) нашла 3 файла VAULT.KEY, script vault, и еще какой-то vault -удалила.
-на момент заражения стоял eset, был включен. Ничего не заподозрил. Отправила обращение о помощи в эту компанию, но ничего в ответ не получила.
-установила Kaspersky Internet Security 15.0.2. Запустила проверку. Нашел 2 трояна-удалил.
Шифрование файлов было единовременным и больше не замечаю изменения файлов, но после загрузки операционной системы по-прежнему выскакивает окошко "Блокнота". Теперь без текста, но с предложением сохранить этот файл. Фото этого с монитора прилагаю.
Мне не нужно восстанавливать ничего, поскольку повреждены были только файлы на рабочем столе, а там ничего важного не было. Все важные документы у меня хранятся на сетевой папке и программе 1С, которые расположены на сетевом сервере, и выведены на мой рабочий стол. Я не захожу туда после заражения. Для меня сейчас самое главное обезвредить вирус, очистить машину от него, чтобы не распространить все это в корпоративную сеть. Помогите, пожалуйста!
Заранее очень Вам благодарна!!!!!
CollectionLog-2015.03.11-16.35.zip

Вирус.doc
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
12.03.2015, 09:05
Здравствуйте! Я подобрал для вас темы с ответами на вопрос Шифровальщик vault как его найти и обезвредить (Удаление вирусов):

Произошло заражение вирусом VAULT - как обезвредить - Удаление вирусов
Добрый день! Компьютер заражен шифровальщиком vault. Заражение произошло через вложение к письму, полученному по электронной почте от...

Как удалить вирус-шифровальщик Vault - Удаление вирусов
После открытия архива все файлы сменили расширения на Vault,на экране появилось предложение о переименовании всех файлов и баз в формат...

Vault шифровальщик, как с ним справиться? - Удаление вирусов
Здравствуйте помогите пожалуйста справиться с вирусом, не открываются файлы с расширением doc, docx, xls, xlsx, jpeg, pdf и другие ....

Шифровальщик Vault - Удаление вирусов
Добрый день! Помогите избавиться от шифровальщика Vault. В интернете на форумах антивирусных компаний пишут что имея лицензию можно...

Шифровальщик vault - Удаление вирусов
Собственно сегодня один из компьютеров сегодня встретил чистым рабочим столом, почти чистым. На рабочем столе остались корзина,ярлык оперы...

Шифровальщик vault - Удаление вирусов
Добрый день. Сегодня 26.08 пришло письмо с вложением. внутри файл, при запуске которого все файлы word, excel, jpg были зашифрованы с...

14
thyrex
Вирусоборец
7150 / 4751 / 706
Регистрация: 06.09.2009
Сообщений: 19,105
12.03.2015, 09:43 #2
Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\Татьяна\appdata\local\amigo\application\amigo.exe');
 DeleteFile('c:\users\Татьяна\appdata\local\amigo\application\amigo.exe','32');
 DeleteFile('C:\Users\Татьяна\AppData\Local\Amigo\Application\ok.exe','32');
 DeleteFile('C:\Users\8C74~1\AppData\Local\Temp\VAULT.txt','32');
 DeleteFile('C:\Users\Татьяна\AppData\Local\Amigo\Application\vk.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tnotify');
DeleteFileMask('C:\Users\Татьяна\AppData\Local\Amigo', '*', true);
DeleteDirectory('C:\Users\Татьяна\AppData\Local\Amigo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

Сделайте новые логи по правилам
0
Tatia
0 / 0 / 0
Регистрация: 11.03.2015
Сообщений: 8
12.03.2015, 10:04  [ТС] #3
Возможно что-то делаю не правильно, но скрипт не запускается. Программа выдает сообщение о ошибке. Картинку окна сообщения прикладываю.Ошибка 1.doc
0
Sandor
Вирусоборец
12336 / 10621 / 1595
Регистрация: 08.10.2012
Сообщений: 42,250
12.03.2015, 10:20 #4
Не копируйте порядковые номера строк.
0
Tatia
0 / 0 / 0
Регистрация: 11.03.2015
Сообщений: 8
12.03.2015, 11:22  [ТС] #5
Все, что Вы рекомендовали- сделала. Вот новые логи. Жду с нетерпением Ваше резюме!CollectionLog-2015.03.12-12.48.zip
0
Sandor
Вирусоборец
12336 / 10621 / 1595
Регистрация: 08.10.2012
Сообщений: 42,250
12.03.2015, 11:35 #6
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Амиго
Менеджер браузеров
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код
var
Lines : TStrings;
i     : integer;
begin
Lines := TStringList.Create;
SearchFiles(NormalDir('%System32%\drivers'), '*.sys', Lines, true, false);
for i := 0 to Lines.Count-1 do
  if CalkFileMD5(Lines[i]) = 'D565AD44C6C4D934AFAD3CA4196B09AA' then begin
   AddToLog('Найден драйвер AVZPM, файл '+Lines[i]);
   DeleteFile(Lines[i]);
   ExecuteSysClean;
  end;
  Lines.Free;
 RebootWindows(false);
end.
Компьютер перезагрузится.

Еще раз повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
0
Tatia
0 / 0 / 0
Регистрация: 11.03.2015
Сообщений: 8
12.03.2015, 12:57  [ТС] #7
Еще раз, добрый день! Все сделала. CollectionLog-2015.03.12-14.38.zip
0
Sandor
Вирусоборец
12336 / 10621 / 1595
Регистрация: 08.10.2012
Сообщений: 42,250
12.03.2015, 13:00 #8
Порядок.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после удаления вредоносного ПО
0
Tatia
0 / 0 / 0
Регистрация: 11.03.2015
Сообщений: 8
12.03.2015, 13:10  [ТС] #9
AVZ выдал: часто используемые уязвимости не обнаружены. Скрипт выполнен без ошибок. Это означает что все удалено? Можно заходить на сетевые папки.
0
Tatia
0 / 0 / 0
Регистрация: 11.03.2015
Сообщений: 8
12.03.2015, 13:24  [ТС] #10
А еще вылезло вот такое окошко: Ошибка.doc
0
Sandor
Вирусоборец
12336 / 10621 / 1595
Регистрация: 08.10.2012
Сообщений: 42,250
12.03.2015, 13:26 #11
Цитата Сообщение от Tatia Посмотреть сообщение
Это означает что все удалено?
Это значит, что в Вашей системе уязвимостей не обнаружено. А следы шифровальщика удалил thyrex.

Добавлено через 1 минуту
Ошибка появилась после выполнения скрипта?
0
Tatia
0 / 0 / 0
Регистрация: 11.03.2015
Сообщений: 8
12.03.2015, 13:27  [ТС] #12
Да, после выполнения скрипта.
0
Sandor
Вирусоборец
12336 / 10621 / 1595
Регистрация: 08.10.2012
Сообщений: 42,250
12.03.2015, 13:30 #13
Ошибка не имеет отношения к первоначальной проблеме. Все утилиты лечения можете просто удалить.
0
Tatia
0 / 0 / 0
Регистрация: 11.03.2015
Сообщений: 8
12.03.2015, 13:46  [ТС] #14
Спасибо Вам огромное за помощь!!!!!
0
Sandor
Вирусоборец
12336 / 10621 / 1595
Регистрация: 08.10.2012
Сообщений: 42,250
12.03.2015, 13:54 #15
Прочтите и соблюдайте рекомендации. Удачи!
0
12.03.2015, 13:54
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
12.03.2015, 13:54
Привет! Вот еще темы с ответами:

Шифровальщик vault - Удаление вирусов
Доброе время суток. Вчера бухгалтеру пришло письмо "Акты сверки за работу...." и конечно ему надо было его открыть. Точки...

Шифровальщик vault - Удаление вирусов
Добрый день. От коллеги по работе получил сообщение со вложенным файлом с расширением doc.zip. Без всякой задней мысли файл открыл, там...

Шифровальщик vault - Удаление вирусов
Здравствуйте, поймал шифровальщика на компе, помогите пожалуйста вылечить.

Шифровальщик vault - Удаление вирусов
Добрый день. У меня беда... пираты зашифровали инфу на моём компе и требуют выкуп. "Ваши рабочие документы и базы данных были...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.