Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.91/11: Рейтинг темы: голосов - 11, средняя оценка - 4.91
0 / 0 / 0
Регистрация: 25.05.2015
Сообщений: 3
1

Вирус vault зашифрованы многие файлы xlsx docx dwg

25.05.2015, 10:36. Показов 2139. Ответов 5
Метки нет (Все метки)

Здравствуйте.
По невнимательности подцепил из почты вирус vault, зашифрованы многие файлы xlsx, docx, dwg.
Помогите пожалуйста с расшифровкой.
0
Вложения
Тип файла: zip CollectionLog-2015.05.25-14.13.zip (79.4 Кб, 5 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
25.05.2015, 10:36
Ответы с готовыми решениями:

Рабочие файлы DOCX, XLSX, PDF и т.д. зашифрованы расширением vault
ПОМОГИТЕ РАСШИФРОВАТЬ ФАЙЛЫ. Сегодня утром на рабочем столе обнаружил файлы vault.txt, vault.key....

Зашифрованы файлы. Vault
Получено письмо с зип архивом. Все файлы зашифрованы. Добавлено расширение *.Vault

Файлы зашифрованы Vault
Добрый день. Не знаю каким образом но вирус попал на комп где Очень много писем нужных все файлы...

Зашифрованы файлы. Vault
Добрый день! Помогите, пожалуйста, вылечить. Логи прилагаю:

5
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,673
25.05.2015, 11:00 2
Здравствуйте!

С расшифровкой не поможем. Будет удаление и зачистка следов.

Внимание! Рекомендации написаны специально для пользователя avm_st. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\btade\btade.exe','');
     QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\91e057df.js', '');
     QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\VAULT.txt', '');
     QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Grroru.exe', '');
     QuarantineFile('C:\Users\Пользователь\AppData\Roaming\ScreenSaverPro.scr', '');
     QuarantineFile('C:\Users\Пользователь\Desktop\vault.txt', '');
     QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\svchost.exe', '');
     QuarantineFile('C:\Users\Пользователь\appdata\local\temp\svchost.exe', '');
     DeleteFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\btade\btade.exe','32');
     DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\91e057df.js', '32');
     DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\VAULT.txt', '32');
     DeleteFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Grroru.exe', '32');
     DeleteFile('C:\Users\Пользователь\AppData\Roaming\ScreenSaverPro.scr', '32');
     DeleteFile('C:\Users\Пользователь\Desktop\vault.txt', '32');
     DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\svchost.exe', '32');
     DeleteFile('C:\Users\Пользователь\appdata\local\temp\svchost.exe', '32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','72ba64ea');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','c079d652');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Grroru');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12c6fc9b');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  3. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код
    R3 - URLSearchHook: (no name) -  - (no file)
    O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
    O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Users\Пользователь\AppData\Roaming\ScreenSaverPro.scr
    O4 - HKCU\..\Run: [Grroru] C:\Users\Пользователь\AppData\Roaming\Microsoft\Grroru.exe
    O4 - HKCU\..\Run: [c079d652] notepad C:\Users\73B5~1\AppData\Local\Temp\VAULT.txt
    O4 - HKCU\..\Run: [12c6fc9b] attrib -h C:\Users\Пользователь\Desktop\vault.txt
    O4 - HKCU\..\Run: [72ba64ea] wscript //B //Nologo C:\Users\73B5~1\AppData\Local\Temp\91e057df.js
    O4 - HKCU\..\Policies\Explorer\Run: [Windows Update] "C:\Users\Пользователь\AppData\Roaming\Microsoft\btade\btade.exe" -shell
    O4 - Startup: _uninst_30006626.lnk = ?
  4. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
0
0 / 0 / 0
Регистрация: 25.05.2015
Сообщений: 3
26.05.2015, 11:55  [ТС] 3
Здравствуйте.
Выполнил все рекомендации.
в HijackThis отсутствовали строки:
O4 - HKCU\..\Run: [72ba64ea] wscript //B //Nologo C:\Users\73B5~1\AppData\Local\Temp\91e057df.js
O4 - HKCU\..\Policies\Explorer\Run: [Windows Update] "C:\Users\Пользователь\AppData\Roaming\Microsoft\btade\btade .exe" -shell

Новые логи выкладываю
0
Вложения
Тип файла: zip CollectionLog-2015.05.26-15.49.zip (74.9 Кб, 2 просмотров)
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,673
26.05.2015, 11:57 4
Чисто.

Как вариант, попробуйте:
Как восстановить зашифрованные троянами файлы средствами Windows

Выполните скрипт в AVZ при наличии доступа в интернет:

Код
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
0
0 / 0 / 0
Регистрация: 25.05.2015
Сообщений: 3
26.05.2015, 12:24  [ТС] 5
Спасибо за помощь.
Восстановление системы или потерлось или не было настроено, так что таким способом восстановить не получается.
0
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,673
26.05.2015, 12:36 6
Жаль. На будущее - Рекомендации после удаления вредоносного ПО
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
26.05.2015, 12:36

Заказываю контрольные, курсовые, дипломные работы и диссертации здесь.

Файлы зашифрованы с раширением vault
Бухгалтер открыла в почте зип архив и зашифровались файлы (ворд, эксель и бд) в расширение vault....

Поймал вирус vault, зашифрованы почти все документы и фото
Добрый вечер уважаемые программисты и сисадмины, сегодня днем открыл файл из почты и поймал вирус...

Зашифрованы файлы на компе. Многие имеют расширение "xtbl"
По центру рабочего стола надпись, что все ценные файлы зашифрованы и мол смотрите readme.txt. ...

В одной учетной записи не открываются файлы *.doc *.xls (При этом все хорошо с *.docx *.xlsx)
Проблема проявляется только в одной учетной записи. В других эти же самые файлы отлично...

Все файлы зашифрованы! вирус better call saul
На почту пришло письмо с архивом. сотрудник открыл и ... Вот: Ваши файлы были зашифрованы. Чтобы...

Вирус just - зашифрованы файлы Excel, Word на сервере
Вчера обнаружено что в некоторых папках сервера произошло шифрование файлов вирусом just. при этом...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
6
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.