Вирус зашифровал все файлы в расширение vault

@RemizowPP · Регистрация: 27.04.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте!
Мне пришло сообщение с контактного адреса и я, по-глупости,, не раздумывая, открыл его и через какое-то время антивирус сообщил о банере на рабочем столе. Процесс vault был благополучно убит и убран из автозагрузки. После проверки на вирусы заметил что все документы переименовались. Помогите пожалуйста с расшифровкой файлов.

@RemizowPP · 27.04.2015, 18:54 **[ТС]**

Вот лог

@shestale · 27.04.2015, 19:24

С расшифровкой не поможем, а если нужна помощь в лечении, тогда
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@RemizowPP · 27.04.2015, 21:26 **[ТС]**

Вот лог сформированный согласно правил вашего форума. Помогите, пожалуйста!!!

@severnyj · 27.04.2015, 21:43

Внимание! Рекомендации написаны специально для пользователя RemizowPP. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\user\AppData\Local\Temp\svchost.exe', '');
 QuarantineFile('C:\Program Files (x86)\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.exe', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\OVPZEW.exe', '');
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('C:\Users\user\AppData\Local\Yandex\browser.bat', '');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\cd27fc53.js', '');
 QuarantineFile('C:\ProgramData\help.bat','');
 QuarantineFile('C:\Users\user\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\DSSL\manual\index.bat','');
 QuarantineFile('C:\Users\user\AppData\chrome.bat','');
 DeleteFile('C:\ProgramData\help.bat','');
 DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','');
 DeleteFile('C:\iexplore.bat','');
 DeleteFile('C:\DSSL\manual\index.bat','');
 DeleteFile('C:\Users\user\AppData\chrome.bat','');
 DeleteFile('C:\Users\user\AppData\Local\Temp\cd27fc53.js', '32');
 DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat', '32');
 DeleteFile('C:\iexplore.bat', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\OVPZEW.exe', '32');
 DeleteFile('C:\windows\Tasks\OVPZEW.job', '64');
 DeleteFile('C:\Program Files (x86)\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.exe', '32');
 DeleteFile('C:\windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-7', '64');
 DeleteFile('C:\windows\system32\Tasks\OVPZEW', '64');
 DeleteFile('C:\Users\user\appdata\local\temp\svchost.exe', '32');
 DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
 DeleteFileMask('C:\Program Files (x86)\CinemaP-1.9cV04.03\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\CinemaP-1.9cV04.03\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '7533a3eb');
BC_ImportAll;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteWizard('TSW', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a0a492502b8f6f129f00c9c6d64dcb10&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a0a492502b8f6f129f00c9c6d64dcb10&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a0a492502b8f6f129f00c9c6d64dcb10&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a0a492502b8f6f129f00c9c6d64dcb10&text=

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Intеrnеt Ехplоrеr.lnk
C:\PROGRA~3\Yandex\Elements\" "C:\PROGRA~3\Yandex\Elements\help.url
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Маil.Ru.lnk
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DSSL\Trassir 3.1 client\Руководство Оператора.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fast Internet\Fаst Intеrnеt.lnk

@RemizowPP · 28.04.2015, 01:00 **[ТС]**

Всё сделал как вы рекомендовали и выполнил все инструкции и сделал соответствующие логи и отчёты. Отправлял и делал я всё это дома со своим Интернетом и его настройками.

Очень жаль, что нет возможности расшифровать испорченные файлы.(((

Как Вы думаете, severnyj , есть хоть какие-нибудь гарантии того, что вымогатели выславшие эту "гадость" последуют своим обещаниям и вышлют ПО с дешифратором, после уплаты выдвинутой ими суммы.

@shestale · 28.04.2015, 06:15

Сообщение от RemizowPP

есть хоть какие-нибудь гарантии

обращение в полицию.

Подготовьте лог AdwCleaner.

@RemizowPP · 28.04.2015, 15:48 **[ТС]**

Вот, shestale, запрошенный Вами лог.

@Sandor · 28.04.2015, 16:02

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

@RemizowPP · 28.04.2015, 20:09 **[ТС]**

Всё сделал как Вы сказали, Sendor. Соответствующий лог прикрепляю к этому сообщению.

@severnyj · 28.04.2015, 20:53

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Подробнее читайте в этом руководстве.

@RemizowPP · 29.04.2015, 12:34 **[ТС]**

Уважаемый, severnyj, высылаю соответствующий лог.

@severnyj · 29.04.2015, 21:18

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3096221126-305576123-2780571025-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} ->  No File
Toolbar: HKU\.DEFAULT -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-3096221126-305576123-2780571025-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
U3 BcmSqlStartupSvc; No ImagePath
U2 CLKMSVC10_3A60B698; No ImagePath
U2 CLKMSVC10_C3B3B687; No ImagePath
U2 DriverService; No ImagePath
U2 iATAgentService; No ImagePath
U2 idealife Update Service; No ImagePath
U3 IGRS; No ImagePath
U2 IviRegMgr; No ImagePath
U2 nvUpdatusService; No ImagePath
U2 Oasis2Service; No ImagePath
U2 PCCarerService; No ImagePath
U2 ReadyComm.DirectRouter; No ImagePath
U2 RichVideo; No ImagePath
U2 RtLedService; No ImagePath
U2 SeaPort; No ImagePath
U2 SoftwareService; No ImagePath
U3 SQLWriter; No ImagePath
U2 Stereo Service; No ImagePath
2015-04-27 13:00 - 2015-04-27 13:00 - 00000000 ____D () C:\Users\user\AppData\Roaming\gnupg
2015-03-10 17:41 - 2015-03-10 17:41 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
Task: {3A1FF987-236F-402A-A90E-F39C77A9E4BC} - \30c92123-4db5-4afd-bf08-c3aefa114864-1-7 No Task File <==== ATTENTION
2015-01-25 19:12 - 2015-01-25 19:12 - 0001248 _____ () C:\Users\user\AppData\Roaming\OVPZEW
Task: {6FB6BBCD-1830-48C4-A5D9-9A0354505B93} - \OVPZEW No Task File <==== ATTENTION
AlternateDataStreams: C:\Users\user\Local Settings:wa
AlternateDataStreams: C:\Users\user\AppData\Local:wa
AlternateDataStreams: C:\Users\user\AppData\Local\Application Data:wa
AlternateDataStreams: C:\Users\user\Documents\акт снк.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\user\Documents\акт снк.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\user\Documents\доверенность шмаков.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\user\Documents\доверенность шмаков.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\user\Documents\заявка бабченков.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\user\Documents\заявка бабченков.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
cmd: ipconfig /flushdns
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@RemizowPP 0 / 0 / 0 Регистрация: 27.04.2015 Сообщений: 7
		1
	Вирус зашифровал все файлы в расширение vault 27.04.2015, 18:18. Показов 1500. Ответов 12 Метки нет (Все метки) Здравствуйте! Мне пришло сообщение с контактного адреса и я, по-глупости,, не раздумывая, открыл его и через какое-то время антивирус сообщил о банере на рабочем столе. Процесс vault был благополучно убит и убран из автозагрузки. После проверки на вирусы заметил что все документы переименовались. Помогите пожалуйста с расшифровкой файлов. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	27.04.2015, 19:24	3
	С расшифровкой не поможем, а если нужна помощь в лечении, тогда Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	28.04.2015, 06:15	7
	Сообщение от RemizowPP есть хоть какие-нибудь гарантии обращение в полицию. Подготовьте лог AdwCleaner. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,087
	28.04.2015, 16:02	9
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	28.04.2015, 20:53	11
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Подробнее читайте в этом руководстве. 0

	29.04.2015, 21:18

Вирус зашифровал все файлы в расширение vault

Решение