Поймали шифровальщика vault нужно провериться на его остатки

**Xapek** · 14.09.2016, 08:38

Добрый день!
Работаем в образовательном учреждении, на почту пришел файл с расширением Акт сверки платежей или что-то подобное. Работник открыл данный файл и файлы,находящиеся на компьютере, зашифровались
Были зашифрованы документы word, excel, pdf, 1c и другие. Они приобрели расширения сначала *sign, а потом спустя несколько перезагрузок компьютера *.vault (файлы воспринимается как файлы формата excel)
Если надо можем прислать зашифрованные файлы
Компьютер был проверен лечащей утилитой Dr.Web Cureit, неизлечимые файлы были помещены в карантин.
Сейчас требуется, в основном, проверить компьютер на остатки вируса и удалить его
Операционная система Windows Vista Business
Заранее спасибо за помощь

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.09.2016, 08:39

Уважаемый(ая) Xapek, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 16.09.2016, 01:27

Выполните скрипт в AVZ

Код:

begin
 DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\1dsve2wefd.exe','32');
 DeleteFile('C:\Windows\system32\machineupper32.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\wpbt0.dll','32');
ExecuteSysClean;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

**Xapek** · 21.09.2016, 10:22

Добрый день, Прикрепляю новые логи

**thyrex** · 23.09.2016, 22:49

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**Xapek** · 29.09.2016, 10:14

Прикладываю логи FRST

**thyrex** · 01.10.2016, 09:07

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
Task: {9D284E8C-BCCA-4734-BE3E-1AF361C0F7B7} - \At1 -> No File <==== ATTENTION
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> C:\Program Files\Yandex\FastDial\fastdial.dll => No File
Toolbar: HKLM - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartab.dll No File
Toolbar: HKU\.DEFAULT -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartab.dll No File
Toolbar: HKU\S-1-5-21-1498200916-3221238267-3868496210-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-1498200916-3221238267-3868496210-1000 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartab.dll No File
2016-09-01 07:28 - 2016-09-01 07:28 - 00004151 _____ C:\VAULT.hta
2016-09-01 07:28 - 2016-09-01 07:28 - 00004151 _____ C:\Users\user\AppData\Roaming\VAULT.hta
2012-07-24 10:48 - 2012-07-24 14:21 - 0007553 _____ () C:\Users\user\AppData\Roaming\Microsoft\308AC29A
2012-07-24 10:46 - 2012-07-24 16:51 - 0016122 _____ () C:\Users\user\AppData\Roaming\Microsoft\308ac61d
2012-07-24 10:46 - 2012-07-24 16:51 - 0000009 _____ () C:\Users\user\AppData\Roaming\Microsoft\308AC650
2011-08-08 13:51 - 2011-12-06 13:09 - 0028074 _____ () C:\Users\user\AppData\Roaming\14C78B7Aa
2011-07-19 17:02 - 2011-12-06 13:09 - 0000012 _____ () C:\Users\user\AppData\Roaming\14c78bb8a
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**Xapek** · 05.10.2016, 09:57

Прикладываю лог-файл (Fixlog.txt)

**thyrex** · 07.10.2016, 20:30

С расшифровкой помочь не сможем

Поймали шифровальщика vault нужно провериться на его остатки (заявка № 203974)

Опции темы