Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.50/4: Рейтинг темы: голосов - 4, средняя оценка - 4.50
0 / 0 / 0
Регистрация: 28.10.2015
Сообщений: 7
1

Рабочие файлы DOCX, XLSX, PDF и т.д. зашифрованы расширением vault

28.10.2015, 11:25. Показов 734. Ответов 9
Метки нет (Все метки)

ПОМОГИТЕ РАСШИФРОВАТЬ ФАЙЛЫ.
Сегодня утром на рабочем столе обнаружил файлы vault.txt, vault.key. При этом файле txt ссылает на сайт и пишет о какой то оплате на расшифровку. прилагаю лог файл по Вашей инструкции.
0
Вложения
Тип файла: zip CollectionLog-2015.10.28-17.14.zip (84.7 Кб, 1 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
28.10.2015, 11:25
Ответы с готовыми решениями:

Вирус vault зашифрованы многие файлы xlsx docx dwg
Здравствуйте. По невнимательности подцепил из почты вирус vault, зашифрованы многие файлы xlsx,...

Зашифрованы файлы. Vault
Получено письмо с зип архивом. Все файлы зашифрованы. Добавлено расширение *.Vault

Файлы зашифрованы Vault
Добрый день. Не знаю каким образом но вирус попал на комп где Очень много писем нужных все файлы...

Зашифрованы файлы. Vault
Добрый день! Помогите, пожалуйста, вылечить. Логи прилагаю:

9
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,667
28.10.2015, 12:27 2
Здравствуйте!

С расшифровкой не поможем.
Будет только очистка следов.

Внимание! Рекомендации написаны специально для пользователя dmitrijsakha. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\VAULT.txt', '');
     QuarantineFile('C:\Users\Администратор\Desktop\vault.txt', '');
     QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\7c62070c.js', '');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.emorhc.bat', '');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.resworb.bat', '');
     DeleteFile('C:\Users\836D~1\AppData\Local\Temp\VAULT.txt', '32');
     DeleteFile('C:\Users\Администратор\Desktop\vault.txt', '32');
     DeleteFile('C:\Users\836D~1\AppData\Local\Temp\7c62070c.js', '32');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.resworb.bat', '32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','27f2c137');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','96f72a39');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','4eb71040');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
    К сообщению прикреплять карантин не нужно!
  3. Файл CheckBrowserLnk.log
    из папки
    ...\AutoLogger\CheckBrowserLnk
    перетащите на утилиту ClearLNK.



    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  4. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  5. Подготовьте лог сканирования AdwCleaner.
0
0 / 0 / 0
Регистрация: 28.10.2015
Сообщений: 7
28.10.2015, 17:48  [ТС] 3
Спасибо за ответ! сделал прикрепляю.
0
Вложения
Тип файла: log ClearLNK-28.10.2015_23-26.log (11.2 Кб, 1 просмотров)
Тип файла: txt AdwCleaner[S1].txt (4.9 Кб, 1 просмотров)
0 / 0 / 0
Регистрация: 28.10.2015
Сообщений: 7
28.10.2015, 17:50  [ТС] 4
Забыл лог прикрепляю
0
Вложения
Тип файла: zip CollectionLog-2015.10.28-23.41.zip (82.3 Кб, 1 просмотров)
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,667
28.10.2015, 17:55 5
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте:
    • Сброс настроек Proxy
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.


Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
0 / 0 / 0
Регистрация: 28.10.2015
Сообщений: 7
28.10.2015, 18:11  [ТС] 6
обычным восстановлением системы файлы можно восстановить?
0
0 / 0 / 0
Регистрация: 28.10.2015
Сообщений: 7
28.10.2015, 18:36  [ТС] 7
Сделал
0
Вложения
Тип файла: zip Addition.zip (14.5 Кб, 1 просмотров)
Тип файла: zip FRST.zip (11.3 Кб, 1 просмотров)
Тип файла: zip Shortcut.zip (25.6 Кб, 1 просмотров)
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,667
28.10.2015, 20:27 8
"Фиксить" ничего не нужно.
Цитата Сообщение от dmitrijsakha Посмотреть сообщение
восстановлением системы файлы можно восстановить?
Да, попробуйте восстановить средствами Windows.
0
0 / 0 / 0
Регистрация: 28.10.2015
Сообщений: 7
26.11.2015, 07:21  [ТС] 9
Времени раньше не было, что бы искать место нахождение. Сегодня ESET NOT нашел файл install.is и местонахождение.
Что можно сделать чтобы восстановить файлы?
Заранее благодарен.
0
Миниатюры
Рабочие файлы DOCX, XLSX, PDF и т.д. зашифрованы расширением vault  
Вирусоборец
15872 / 13215 / 2335
Регистрация: 08.10.2012
Сообщений: 53,667
26.11.2015, 11:36 10
Если не получилось по ссылке, увы.

Есть решение у DrWeb, но только для обладателей лицензии на их продукт.

Либо задайте вопрос здесь.

+
Мой компьютер заражен вирусом, я хочу обратиться в полицию (для жителей России)
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
26.11.2015, 11:36

Заказываю контрольные, курсовые, дипломные работы и диссертации здесь.

Файлы зашифрованы с раширением vault
Бухгалтер открыла в почте зип архив и зашифровались файлы (ворд, эксель и бд) в расширение vault....

Зашифрованы файлы с расширением JUST
Словили вирус . Похож на Trojan.Encoder 68. Многие файлы зашифрованы с добавлением расширения just....

Все файлы зашифрованы с расширением breaking_bad
Все файлы зашифровались. Помогите!

Файлы с расширением cry зашифрованы вирусом
Заблокировал доступ к моим документам и всем пакам и ярлыкам вирус.Нашел тему на форуме...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.