Шифровальщик vault испортил все файлы

@sergtmn · Регистрация: 11.11.2015

Добрый день, собственно проблема написана в заголовке темы, все *.doc(x) и *.xlsx все зашифрованы. Нужна помощь, лог согласно инструкции прилагаю.

@shestale · 11.11.2015, 09:18

Внимание! Рекомендации написаны специально для sergtmn. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\46364331-1447058064-3834-3243-4643FFFFFFFF\knsv57.tmpfs', '');
 QuarantineFile('C:\Program Files\46364331-1447058064-3834-3243-4643FFFFFFFF\hnsm70.tmp', '');
 QuarantineFile('C:\Documents and Settings\PritulyakOV\Главное меню\Программы\Автозагрузка\VAULT.hta', '');
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('C:\iехplоrе.bаt.exe', '');
 QuarantineFile('C:\firеfох.bаt.exe', '');
 QuarantineFile('C:\firefox.bat', '');
 QuarantineFileF('C:\sh4ldr', '*', true, '', 0, 0);
 DeleteFile('C:\firefox.bat');
 DeleteFile('C:\firеfох.bаt.exe');
 DeleteFile('C:\iехplоrе.bаt.exe');
 DeleteFile('C:\Program Files\46364331-1447058064-3834-3243-4643FFFFFFFF\knsv57.tmpfs', '32');
 DeleteFile('C:\Program Files\46364331-1447058064-3834-3243-4643FFFFFFFF\hnsm70.tmp', '32');
 DeleteFile('C:\Documents and Settings\PritulyakOV\Главное меню\Программы\Автозагрузка\VAULT.hta', '32');
 DeleteFile('C:\iexplore.bat', '32');
 DeleteService('qibikufu');
 DeleteService('toniqobe');
 DeleteFileMask('C:\sh4ldr', '*', true);
 DeleteDirectory('C:\sh4ldr');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@sergtmn · 11.11.2015, 09:43 **[ТС]**

готово

@shestale · 11.11.2015, 09:52

Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
+
Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@sergtmn · 11.11.2015, 10:02 **[ТС]**

SecurityCheck by glax24 v.1.4.0.32 [01.11.15]
WebSite: www.safezone.cc
DateLog: 11.11.2015 12:01:36
Path starting: C:\Documents and Settings\PritulyakOV\Local Settings\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: PritulyakOV
VersionXML: 2.04is-05.11.2015
____________________________________________________________ _______________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 12.03.2011 09:07:57
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [48.8 Гб] Занято: [28.2 Гб] Свободно: [20.6 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.6001.18702 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
---------------------------- [ Antivirus_WMI ] ----------------------------
avast! Antivirus (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.10.2.2218
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 4.57
TeamViewer 10 v.10.0.47484
--------------------------------- [ IM ] ----------------------------------
SkypeMate
Skype™ 7.5 v.7.5.102 Внимание! Скачать обновления
^Необязательное обновление.^
-------------------------------- [ Java ] ---------------------------------
Java(TM) 6 Update 20 v.6.0.200 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader X (10.1.0) - Russian v.10.1.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.44.0.2403.125 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
SpyHunter 4 v.4.20.9.4533 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Toolbars v.5.3.7280 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
----------------------------- [ End of Log ] ------------------------------

@shestale · 11.11.2015, 10:06

Всё обновляйте и устанавливайте.
+
Рекомендации после удаления вредоносного ПО
+
Для расшифровки обратитесь сюда, а ссылку на лечение дадите на эту тему.

@sergtmn · 11.11.2015, 10:10 **[ТС]**

спасибо

@shestale · 11.11.2015, 10:20

Удачи!

@sergtmn · 12.11.2015, 10:44 **[ТС]**

компьютер чист спасибо, но расшифровать не получилось, всех отправляют к доктору, видимо это какая то пиар акция Dr.WEB-а)))))

@shestale · 12.11.2015, 11:58

А может у кого из друзей есть лицензионный Dr.WEB?

@sergtmn · 12.11.2015, 12:15 **[ТС]**

куда деваться, щас купим за 1,5 рубля, других вариантов пока нет)))

@shestale 8614 / 4184 / 332 Регистрация: 22.02.2011 Сообщений: 13,721
	11.11.2015, 09:18	2
	Внимание! Рекомендации написаны специально для sergtmn. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\46364331-1447058064-3834-3243-4643FFFFFFFF\knsv57.tmpfs', ''); QuarantineFile('C:\Program Files\46364331-1447058064-3834-3243-4643FFFFFFFF\hnsm70.tmp', ''); QuarantineFile('C:\Documents and Settings\PritulyakOV\Главное меню\Программы\Автозагрузка\VAULT.hta', ''); QuarantineFile('C:\iexplore.bat', ''); QuarantineFile('C:\iехplоrе.bаt.exe', ''); QuarantineFile('C:\firеfох.bаt.exe', ''); QuarantineFile('C:\firefox.bat', ''); QuarantineFileF('C:\sh4ldr', '', true, '', 0, 0); DeleteFile('C:\firefox.bat'); DeleteFile('C:\firеfох.bаt.exe'); DeleteFile('C:\iехplоrе.bаt.exe'); DeleteFile('C:\Program Files\46364331-1447058064-3834-3243-4643FFFFFFFF\knsv57.tmpfs', '32'); DeleteFile('C:\Program Files\46364331-1447058064-3834-3243-4643FFFFFFFF\hnsm70.tmp', '32'); DeleteFile('C:\Documents and Settings\PritulyakOV\Главное меню\Программы\Автозагрузка\VAULT.hta', '32'); DeleteFile('C:\iexplore.bat', '32'); DeleteService('qibikufu'); DeleteService('toniqobe'); DeleteFileMask('C:\sh4ldr', '', true); DeleteDirectory('C:\sh4ldr'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Удалите параметры запуска ярлыков. Подготовьте лог AdwCleaner. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 0

@shestale 8614 / 4184 / 332 Регистрация: 22.02.2011 Сообщений: 13,721
	11.11.2015, 09:52	4
	Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. + Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам. 0

@sergtmn 0 / 0 / 0 Регистрация: 11.11.2015 Сообщений: 13
	11.11.2015, 10:02 [ТС]	5
	SecurityCheck by glax24 v.1.4.0.32 [01.11.15] WebSite: www.safezone.cc DateLog: 11.11.2015 12:01:36 Path starting: C:\Documents and Settings\PritulyakOV\Local Settings\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: PritulyakOV VersionXML: 2.04is-05.11.2015 ____________________________________________________________ _______________ Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419) Дата установки ОС: 12.03.2011 09:07:57 Режим загрузки: Normal Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [48.8 Гб] Занято: [28.2 Гб] Свободно: [20.6 Гб] ------------------------------- [ Windows ] ------------------------------- Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз Internet Explorer 8.0.6001.18702 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Автоматическое обновление отключено Автоматическое обновление (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает ---------------------------- [ Antivirus_WMI ] ---------------------------- avast! Antivirus (выключен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Avast Free Antivirus v.10.2.2218 --------------------------- [ OtherUtilities ] ---------------------------- 7-Zip 4.57 TeamViewer 10 v.10.0.47484 --------------------------------- [ IM ] ---------------------------------- SkypeMate Skype™ 7.5 v.7.5.102 Внимание! Скачать обновления *^Необязательное обновление.^* -------------------------------- [ Java ] --------------------------------- Java(TM) 6 Update 20 v.6.0.200 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8 ^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader X (10.1.0) - Russian v.10.1.0 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Google Chrome v.44.0.2403.125 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- SpyHunter 4 v.4.20.9.4533 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Skype Toolbars v.5.3.7280 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. ----------------------------- [ End of Log ] ------------------------------ 0

@shestale 8614 / 4184 / 332 Регистрация: 22.02.2011 Сообщений: 13,721
	11.11.2015, 10:06	6
	Всё обновляйте и устанавливайте. + Рекомендации после удаления вредоносного ПО + Для расшифровки обратитесь сюда, а ссылку на лечение дадите на эту тему. 0

@sergtmn 0 / 0 / 0 Регистрация: 11.11.2015 Сообщений: 13
	11.11.2015, 10:10 [ТС]	7
	спасибо 0

@shestale 8614 / 4184 / 332 Регистрация: 22.02.2011 Сообщений: 13,721
	11.11.2015, 10:20	8
	Удачи! 0

@sergtmn 0 / 0 / 0 Регистрация: 11.11.2015 Сообщений: 13
	12.11.2015, 10:44 [ТС]	9
	компьютер чист спасибо, но расшифровать не получилось, всех отправляют к доктору, видимо это какая то пиар акция Dr.WEB-а))))) 0

@shestale 8614 / 4184 / 332 Регистрация: 22.02.2011 Сообщений: 13,721
	12.11.2015, 11:58	10
	А может у кого из друзей есть лицензионный Dr.WEB? 0

@sergtmn 0 / 0 / 0 Регистрация: 11.11.2015 Сообщений: 13
	12.11.2015, 12:15 [ТС]	11
	куда деваться, щас купим за 1,5 рубля, других вариантов пока нет))) 0

Опции темы