Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.73/11: Рейтинг темы: голосов - 11, средняя оценка - 4.73
0 / 0 / 0
Регистрация: 18.05.2016
Сообщений: 5
1

Расшифровка файлов *.vault

18.05.2016, 13:37. Просмотров 2114. Ответов 9
Метки нет (Все метки)


Добрый день, с утра на работе открыл почту, пришёл документ от якобы-поставщика. Открыл - получил на комп вирус, который мне зашифровал все файлы doc, excel, jpg в *.vault.

Проблема знаю распространённая, на экране появился баннер с рекламой о том, как получить ключ для расшифровки. Антивируса, увы, не было. Просканил комп с помощью Kaspersky Removal Tool и CureIt, сам комп по видимому излечил (новые созданные файлы не шифрует). Соответственно, баннер сейчас исчез, скопировать сюда текст оттуда не могу.
Поставил себе бесплатный Microsoft Security Essentials, но уже после всего этого, так что толку от него сейчас всё равно нет.

Файл VAULT.KEY сохранился, а вот CONFIRMATION.KEY не вижу.

Можно ли восстановить зашифрованные файлы? Я так понимаю, каждый случай идентичен. Любая помощь приветствуется, всё же очень важные файлы он мне зашифровал, и с нуля писать всё будет очень затруднительно.

С помощью "AutoLogger.exe" сделал логи, прикрепляю...
0
Вложения
Тип файла: zip CollectionLog-2016.05.18-12.13.zip (74.3 Кб, 2 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
18.05.2016, 13:37
Ответы с готовыми решениями:

Расшифровка или снова vault
как расшифровать или восстановить фотографии после вируса vault сам вирус вроде убрал тремя...

Шифровка файлов в vault
Здравствуйте. Помогите плиз. Проблема такая же как в аналогичных темах. Пользователь открыл письмо...

Расшифровка файлов после Эбола
На работе комп был заражен Эболой. По словам кассира, перешла по ссылке из письма. Пробовал...

Расшифровка файлов iizomer@aol.com.ver-CL 1.2.0.0.id
Поймал троян антивирус Avast не определил его да и Касперский тоже молчал файлы поменяли...

9
Вирусоборец
15812 / 13164 / 2326
Регистрация: 08.10.2012
Сообщений: 53,423
18.05.2016, 13:57 2
Здравствуйте!

Шифровщика действительно нет. Но есть майнер и куча адвари, которых мы сначала удалим.

Внимание! Рекомендации написаны специально для пользователя nickolas88. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('C:\Windows\System32\cpuminer-gw64.exe');
     QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
     QuarantineFile('C:\Users\DNS\AppData\Roaming\eTranslator\eTranslator.exe','');
     QuarantineFile('C:\Windows\System32\cpuminer-gw64.exe','');
     QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFileF('c:\users\dns\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
     QuarantineFile('C:\Users\DNS\AppData\Roaming\03000200-1431427791-0500-0006-000700080009\jnsi53D9.tmp', '');
     QuarantineFile('C:\Users\DNS\AppData\Roaming\03000200-1431427791-0500-0006-000700080009\nsx4F72.tmp', '');
     QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe', '');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
     QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe', '');
     QuarantineFile('C:\Users\DNS\AppData\Roaming\cpuminer\sgminer\sgminer.cmd', '');
     QuarantineFile('C:\Users\DNS\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
     DeleteFile('C:\Windows\System32\cpuminer-gw64.exe','32');
     DeleteFile('C:\Users\DNS\AppData\Roaming\eTranslator\eTranslator.exe','32');
     DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
     DeleteFile('C:\Users\DNS\AppData\Roaming\03000200-1431427791-0500-0006-000700080009\jnsi53D9.tmp', '32');
     DeleteFile('C:\Users\DNS\AppData\Roaming\03000200-1431427791-0500-0006-000700080009\nsx4F72.tmp', '32');
     DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe', '32');
     DeleteFile('C:\Users\DNS\AppData\Roaming\cpuminer\sgminer\sgminer.cmd', '32');
     DeleteFile('C:\Users\DNS\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
     ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
     DeleteService('pusyjoqe');
     DeleteService('sulevegu');
     DeleteService('WindowsMangerProtect');
     DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
     DeleteFileMask('c:\users\dns\appdata\local\smartweb', '*', true);
     DeleteDirectory('c:\program files (x86)\zaxar');
     DeleteDirectory('c:\users\dns\appdata\local\smartweb');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Automatic Update');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer');
    ExecuteSysClean;
     ExecuteRepair(1);
     ExecuteRepair(3);
     ExecuteRepair(4);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
    К сообщению прикреплять файл quarantine.zip не нужно!


  3. Подготовьте и прикрепите лог сканирования AdwCleaner.
1
0 / 0 / 0
Регистрация: 18.05.2016
Сообщений: 5
19.05.2016, 07:44  [ТС] 3
Всё по пунктам сделал.
0
Вложения
Тип файла: rar AdwCleaner[S1].rar (5.5 Кб, 1 просмотров)
Вирусоборец
3691 / 1950 / 296
Регистрация: 04.04.2012
Сообщений: 7,239
19.05.2016, 10:00 4
Удалите все найденное в AdwCleaner: https://www.cyberforum.ru/post6500085.html лог после удаления прикрепите.

Подготовьте лог сканирования FRST: https://www.cyberforum.ru/post7151340.html
0
0 / 0 / 0
Регистрация: 18.05.2016
Сообщений: 5
19.05.2016, 11:01  [ТС] 5
Готово.
0
Вложения
Тип файла: rar Addition+FRST.rar (15.1 Кб, 2 просмотров)
Тип файла: rar AdwCleaner[C1].rar (5.2 Кб, 1 просмотров)
Вирусоборец
3691 / 1950 / 296
Регистрация: 04.04.2012
Сообщений: 7,239
19.05.2016, 11:11 6
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010011] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010012] => [X]
HKU\S-1-5-21-3344758113-789691739-3632434440-1000\...\Policies\Explorer: [] 
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
BHO: No Name -> {72a94386-d7dd-4032-86b6-e013e104f0ab} -> No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3344758113-789691739-3632434440-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-3344758113-789691739-3632434440-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
StartMenuInternet: IEXPLORE.EXE - 
CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx [2012-09-23]
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
FirewallRules: [{BA0E234D-F0DF-402A-A053-64904565088B}] => (Allow) C:\Torrentex\Torrentex.exe
FirewallRules: [{3E83C492-E77E-48F2-BAED-5791321ACC84}] => (Allow) C:\Torrentex\Torrentex.exe
C:\Torrentex\
cmd: ipconfig /flushdns
cmd: ipconfig /release
cmd: ipconfig /renew
cmd: bitsadmin /reset /allusers
 
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.


Цитата Сообщение от nickolas88 Посмотреть сообщение
Файл VAULT.KEY сохранился, а вот CONFIRMATION.KEY не вижу.
вот:

2016-05-18 09:03 - 2016-05-18 09:03 - 00165362 _____ C:\Users\DNS\AppData\Roaming\CONFIRMATION.KEY
2016-05-18 09:03 - 2016-05-18 09:03 - 00001597 _____ C:\Users\DNS\Desktop\VAULT.KEY
2016-05-18 09:03 - 2016-05-18 09:03 - 00001597 _____ C:\Users\DNS\AppData\Roaming\VAULT.KEY


Попробуйте: Как восстановить зашифрованные троянами файлы средствами Windows
1
0 / 0 / 0
Регистрация: 18.05.2016
Сообщений: 5
19.05.2016, 12:36  [ТС] 7
Цитата Сообщение от severnyj Посмотреть сообщение
Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Прикрепил.

Fixlog.txt

Цитата Сообщение от severnyj Посмотреть сообщение
Попробуйте: Как восстановить зашифрованные троянами файлы средствами Windows
Помогло! Восстановил старые версии файлов через командную строку. Спасибо)
0
Вирусоборец
3691 / 1950 / 296
Регистрация: 04.04.2012
Сообщений: 7,239
19.05.2016, 13:20 8
Сделайте лог SecurityCheck by glax24: http://safezone.cc/resources/s... ersion=768
0
Вирусоборец
15812 / 13164 / 2326
Регистрация: 08.10.2012
Сообщений: 53,423
20.05.2016, 07:43 10
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 91 (64-bit) v.8.0.910.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u92-windows-x64.exe)^
------------------------------- [ Browser ] -------------------------------
Opera Stable 37.0.2178.32 v.37.0.2178.32 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^


Попробуйте восстановить файлы средствами Windows.
1
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
20.05.2016, 07:43

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь или здесь.

Расшифровка файлов после вируса ISHTAR
Все файла преобрели вид ISHTAR-(оригинальное имя файла).(оригинальное расширение). И ещё добавились...

Расшифрока файлов с расширением vault
Можно ли расшифровать файлы у которых стало расширение vault&amp;

Расшифровка файлов .COMBO
Здравствуйте ребята. После попадание вирусов на ПК переустановил ОС, сканировал компьютер...

Расшифровка файлов
Здравствуйте. Проблема такая. Стояла Windows 7. Зашифровал папку стандартными средствами системы...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.