Перейти к содержимому


Фотография
- - - - -

Шифровальщик harma

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 32

#1 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 05 Август 2019 - 09:09

Добрый день. Вирус вымогатель защифровал данные, на конце расширение harma. Стоял антивирус Kaspersky internet security. ориентировочная дата шифрования 03 августа 2019г. где то в обед.KVRT и cureit не дает запустить. Снял автологером отчет.Отчет прилагаю. в папках есть encrypted.txt указан почтовый ящик для переписки bitcoin1@foxmail.com


Сообщение отредактировал thyrex: 05 Август 2019 - 09:49
шрифт

  • 0

#2 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 919

Отправлено 05 Август 2019 - 09:21

Здравствуйте!

Вероятно не нажали кнопку "Загрузить".

Сообщение отредактировал Sandor: 05 Август 2019 - 09:22

  • 0
Изображение

#3 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 05 Август 2019 - 09:29

Добрый день. Вирус вымогатель защифровал данные, на конце расширение harma. Стоял антивирус Kaspersky internet security. ориентировочная дата шифрования 03 августа 2019г. где то в обед.KVRT и cureit не дает запустить. Снял автологером отчет.Отчет прилагаю. в папках есть encrypted.txt указан почтовый ящик для переписки bitcoin1@foxmail.com

Прикрепленные файлы


  • 0

#4 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 919

Отправлено 05 Август 2019 - 09:48

Не цитируйте всё предыдущее сообщение. Используйте форму быстрого ответа внизу.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Driver Booster 2.2
Google Toolbar for Internet Explorer
SpyHunter4


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1bitc.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1bitc.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1bitc.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).


Следы бывшей установки Avast очистите по соотв. инструкции:
Чистка системы после некорректного удаления антивируса.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#5 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 05 Август 2019 - 10:20

Проблема в том, что системный профиль Администратор поменен на по умолчанию. Изза этого с панель управления не могу удалить Driver Booster 2.2

Google Toolbar for Internet Explorer
SpyHunter4

Что сделать,как удалить?может с live usb запустить KVRT?Спасибо!


  • 0

#6 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 919

Отправлено 05 Август 2019 - 10:35

Пробуйте удалить через Geek Uninstaller
Хочу предупредить, что расшифровки этой версии вымогателя нет. Мы чистим активное заражение и его следы.
  • 0
Изображение

#7 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 05 Август 2019 - 10:59

архив quarantine.zip пуста


  • 0

#8 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 919

Отправлено 05 Август 2019 - 11:16

Продолжайте.
  • 0
Изображение

#9 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 05 Август 2019 - 12:04

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

KLAN-10760862470


  • 0

#10 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 919

Отправлено 05 Август 2019 - 12:28

Продолжайте

Я подразумевал очистку следов Avast и новый CollectionLog.
  • 0
Изображение

#11 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 05 Август 2019 - 12:55

Позже,я так и понял) а касперский тоже удалить?


  • 0

#12 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 919

Отправлено 05 Август 2019 - 12:58

касперский тоже удалить?

Нет, не нужно.
  • 0
Изображение

#13 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 05 Август 2019 - 13:49

Прикрепил новый collectionlog

Прикрепленные файлы


  • 0

#14 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 919

Отправлено 05 Август 2019 - 13:54

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#15 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 05 Август 2019 - 14:13

FRST.txt и Addition.txt

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   41,64К   скачиваний 1
  • Прикрепленный файл  FRST.txt   186,88К   скачиваний 1

  • 0




Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных