santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2015 10:20:39

если скушал, значит не нужен. значит детектируется нашим антивирусом

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2015 10:14:51

да, постарайтесь на будущее хотя бы защититься от VAULT, например, запретив запуск исполняемых файлов з архива, через политики
это поможет пока злоумышленники не поменяют механизм распространения и запуска энкодера.

спец. для вас откопирую сюда рекомендации

Цитата
как можно избежать встречи с VAULT? 1. будьте предельно внимательны при работе с почтой. если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы .exe, .com, .pif, .js, .cmd, .scr, .bat, то такой документ никак не может быть офисным документом. Значит вас вводят в заблуждение, выдавая черное за белое. 2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов. например: XP:%userprofile%\Local Settings\Temp\_tc\.js Win7:%userprofile%\Appdata\Local\Temp\_tc\*.js 3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg. в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей. 4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае шифрование состоится, но известным ключом. Или не состоится.

Цитата

как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом. Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:

XP:%userprofile%\Local Settings\Temp\_tc\*.js
Win7:%userprofile%\Appdata\Local\Temp\_tc\*.js

3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg. в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае шифрование состоится, но известным ключом. Или не состоится.

Изменено: santy - 04.06.2016 17:57:04

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2015 10:10:22

по работе шифратора нам все известно.
(в том числе и про GnuPG)
что запускается, какие файлы используются для шифрования, чем можно расшифровать.
что необходимо для расшифровки и т.д.
все это не раз проверялось на виртуальной машине,
проблема в том, что в реальном случае заражения в отличие от эксперимента на вирт. машине как правило не получается ни у кого перехватить или восстановить после удаления нужный ключ secring.gpg
а без secring.gpg расшифровка документов невозможно.
--------
единственно бывают чудеса, когда файлы не зашифрованы, а лишь переименованы. но крайне редко.

Изменено: santy - 04.06.2016 18:25:58

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2015 09:47:55

в XP такого нет.
в точки восстановления копируются только системные файлы. документы в т.в. не копируются

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2015 09:46:36

не понятен смысл отсылки на форум касперклуба.
по VAULT посмотрите статью
http://forum.esetnod32.ru/forum35/topic11845/
если будут вопросы после прочтения задайте здесь
---
если есть свежий шифратор VAULT, вышлите в почту [email protected]
это файл js в архиве zip
лучше выслать в архиве с паролем infected

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2015 08:47:40

Элина,
прочтите VAULT. что делать?
http://forum.esetnod32.ru/forum35/topic11845/

если останутся вопросы после чтения этой статьи - спросите.
смысла нет повторять одно и тоже в 10 раз. если нет живого secring.gpg на диске, то помочь с расшифровкой не сможем. как бы этого не хотелось.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус Stantinko и др. Помогите избавиться!, Компьютер начал подвисать, По скайпу просят какие-то левые добавить их в мой список контактов, есть подозрение, что через Скайп мне написали мошенники от имени знакомой (я это выясню!), просят положить денег на телефон 200 или лучше 300 рублей.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2015 05:43:11

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 CHR Extension: (Tampermonkey) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2014-12-01] CHR HKU\S-1-5-21-1316311504-1695488031-2430282664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx OPR Extension: (APIHelper) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-01-20] NETSVCx32: KBDMAI -> No ServiceDLL Path. NETSVCx32: ir16_32 -> No ServiceDLL Path. NETSVCx32: d3dadapter -> No ServiceDLL Path. NETSVCx32: wlanmgr -> No ServiceDLL Path. EmptyTemp: Reboot:

Код

AlternateDataStreams: C:\ProgramData\TEMP:D8999815
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815
CHR Extension: (Tampermonkey) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2014-12-01]
CHR HKU\S-1-5-21-1316311504-1695488031-2430282664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx
OPR Extension: (APIHelper) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-01-20]
NETSVCx32: KBDMAI -> No ServiceDLL Path.
NETSVCx32: ir16_32 -> No ServiceDLL Path.
NETSVCx32: d3dadapter -> No ServiceDLL Path.
NETSVCx32: wlanmgr -> No ServiceDLL Path.
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Как удалить троян Corkow?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2015 16:20:54

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.85.17 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 3D888BA4D9BF0FBF231CC11DAEAA1943F0DCABAE89FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 64 kork zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\MP4SBPN.INK ;------------------------autoscript--------------------------- chklst delvir delref HTTP://WWW.SEARCH.ASK.COM/?TPID=ORJ-SPE&O=APN11406&PF=V7&TRGB=IE&P2=%5EBBE%5EOSJ000%5EYY%5ERU&GCT=HP&APN_PTNRS=BBE&APN_DTID=%5EOSJ000%5EYY%5ERU&APN_DBR=IE_11.0.9600.17280&APN_UID=8A3A132C-7897-47B6-9B42-73A434129212&ITBV=12.15.5.30&DOI=2014-09-11&PSV=&PT=TB deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

addsgn 3D888BA4D9BF0FBF231CC11DAEAA1943F0DCABAE89FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 64 kork

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\MP4SBPN.INK
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.SEARCH.ASK.COM/?TPID=ORJ-SPE&O=APN11406&PF=V7&TRGB=IE&P2=%5EBBE%5EOSJ000%5EYY%5ERU&GCT=HP&APN_PTNRS=BBE&APN_DTID=%5EOSJ000%5EYY%5ERU&APN_DBR=IE_11.0.9600.17280&APN_UID=8A3A132C-7897-47B6-9B42-73A434129212&ITBV=12.15.5.30&DOI=2014-09-11&PSV=&PT=TB

deltmp
delnfr
;-------------------------------------------------------------
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Изменено: santy - 13.04.2015 16:21:12

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], возможно, Filecoder.DG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2015 12:40:08

1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
[CODE];uVS v3.85.17 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- sreg chklst delvir delref %SystemDrive%\DOCUME~1\86C2~1\LOCALS~1\TEMP\3FE91.EXE del %SystemDrive%\DOCUME~1\86C2~1\LOCALS~1\TEMP\3FE91.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL del %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\2.3.0.2225 delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE delref HTTP://SEARCH.QIP.RU ; Java(TM) 6 Update 19 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} /quiet ; Java(TM) 6 Update 3 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet delnfr areg ;-------------------------------------------------------------

Код


[CODE];uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %SystemDrive%\DOCUME~1\86C2~1\LOCALS~1\TEMP\3FE91.EXE
del %SystemDrive%\DOCUME~1\86C2~1\LOCALS~1\TEMP\3FE91.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
del %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\2.3.0.2225
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE

delref HTTP://SEARCH.QIP.RU
; Java(TM) 6 Update 19
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} /quiet
; Java(TM) 6 Update 3
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
добавьте новый образ автозапуска для контроля.
------------
2. по восстановлению системы:
теневых копий нет для вашей системы, восстановление из теневых копий невозможно.

3. по расшифровке:
обратитесь по расшифровке с лицензией в вашу антивирусную компанию.

[ Как создать образ автозапуска? ]

Перейти

Снизилась производительность

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2015 09:42:53

Код
;uVS v3.85.17 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr

;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти