Вирус зашифровал файлы и добавил расширение vault

@brenli · Регистрация: 18.10.2012

Студворк — интернет-сервис помощи студентам

Всем добра!
2 сотрудницы открыли одно и тоже письмо на разных компах и заразили систему.
У обеих "уродец" зашифровал файлы данных и добавил расширение vault .
До того как поискал информацию на форуме, на первом компе "прошелся" авастом и не поняв сначала в чем дело - убрал расширение vault у зашифрованных файлов.

Прикладываю логи обоих компьютеров.
Жду ваших советов.
Спасибо.

@thyrex · 25.03.2015, 21:43

Начните с того, что по второму компьютеру создайте отдельную тему

Ответ дается только по логам, начинающимся с А

Click Caption 1.10.0.2
Амиго

удалите через Установку программ

Выполните скрипт в AVZ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('ccnfd_1_10_0_2', 4);
QuarantineFile('C:\Program Files\clickcaption_1.10.0.2\ie\clickcaptionclientie.dll','');
 QuarantineFile('C:\Program Files\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ccnfd_1_10_0_2.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\ccnfd_1_10_0_2.sys','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','32');
 DeleteFile('C:\Program Files\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll','32');
 DeleteFile('C:\Program Files\clickcaption_1.10.0.2\ie\clickcaptionclientie.dll','32');
DelBHO('{A18EA34C-6D33-4298-8A54-7F16499904C0}');
DeleteService('ccnfd_1_10_0_2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Code
1
2
3
begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи по правилам

@brenli · 26.03.2015, 08:37 **[ТС]**

Свежие логи с пролеченного компа

@thyrex · 26.03.2015, 11:14

Логи в порядке

С расшифровкой не поможем

@brenli · 26.03.2015, 11:35 **[ТС]**

Сообщение от thyrex

С расшифровкой не поможем

Даже посоветовать ничего не сможете? Вообще реально нет?
Известны случаи расшифровки?

@thyrex · 26.03.2015, 13:48

Вирлабы бессильны, куда уж нам

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@thyrex 14447 / 7488 / 1580 Регистрация: 06.09.2009 Сообщений: 27,132
	26.03.2015, 11:14
	Логи в порядке С расшифровкой не поможем 1

@thyrex 14447 / 7488 / 1580 Регистрация: 06.09.2009 Сообщений: 27,132
	26.03.2015, 13:48
	Вирлабы бессильны, куда уж нам 0