Перейти к содержимому


Фотография
- - - - -

Шифровальщик harma 3-й ПК

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 13

#1 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 06 Август 2019 - 12:40

Добрый день. Вирус вымогатель защифровал данные, файлы с расширением harma. Стоял лицензионный антивирус Kaspersky internet security. Атака шифрования 03 августа 2019г в районе 2 часов дня.KVRT и cureit не дает запустить. Снял autologger отчет, прилагаю. есть encrypted.txt,почтовый ящик для переписки bitcoin1@foxmail.com
 
 

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 06 Август 2019 - 14:14

Сообщите, пожалуйста, здесь повтор или это третий компьютер?
  • 0
Изображение

#3 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 06 Август 2019 - 14:31

это третий комп,Спасибо!думал сам написать,раз ответа не было)))


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 06 Август 2019 - 14:45

MinerGate ставили самостоятельно?
+
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 06 Август 2019 - 15:17

minergate ставил самостоятельно. 

FRST.txt Addition.txt

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   23,79К   скачиваний 1
  • Прикрепленный файл  Addition.txt   36,41К   скачиваний 1

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 06 Август 2019 - 15:40

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    Task: {57BAF2DC-C9B3-4AAA-B603-A4C4686A17E2} - System32\Tasks\Driver Booster SkipUAC (server fail) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
    CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    FirewallRules: [{0DAD2E28-0522-42A4-A31A-727F0747340D}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe No File
    FirewallRules: [{6C7E9334-515E-415B-A670-707DE17B8A0F}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe No File
    FirewallRules: [{8CF53C2E-91AB-42AB-9F9A-B19040D50862}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe No File
    FirewallRules: [{C087D77D-21BB-4131-8D25-B8B371F6D90A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe No File
    FirewallRules: [{E6D24F9F-37DF-480E-A578-95CA67DB4356}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe No File
    FirewallRules: [{2C7F1DC2-4B65-4B3F-95F1-747810B7EAF9}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe No File
    FirewallRules: [{007FA406-270E-47CF-91FB-99A2F42B61FC}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe No File
    FirewallRules: [{5C9CF741-C410-4D33-953A-B509DD36FB34}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 07 Август 2019 - 08:13

Fixlog.txt

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   4,68К   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 07 Август 2019 - 08:16

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
Изображение

#9 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 07 Август 2019 - 10:33

SecurityCheck.txt

Прикрепленные файлы


  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 07 Август 2019 - 10:45

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4499164 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 5.2.22 v.5.2.22 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.4 v.3.40.0000 Внимание! Программа удаленного доступа!
Radmin Viewer 3.4 v.3.40.0000 Внимание! Программа удаленного доступа!
LanAgent Agent v.5.3.5 << Скрыта Внимание! Программа-шпион! Возможна утечка конфиденциальных данных.
---------------------------- [ UnwantedApps ] -----------------------------
system v.1.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


Рекомендации после удаления вредоносного ПО
  • 0
Изображение

#11 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 07 Август 2019 - 11:27

На этом Все,больше ничего не получиться?


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 07 Август 2019 - 11:33

В первой теме я вам уже говорил:

Хочу предупредить, что расшифровки этой версии вымогателя нет. Мы чистим активное заражение и его следы.


На всякий случай, при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
  • 0
Изображение

#13 OFF   hook009

hook009

    Постоялец

  • Участники
  • Pip
  • Cообщений: 37

Отправлено 08 Август 2019 - 08:14

Создал запрос на касперский

INC000010682491
  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 08 Август 2019 - 08:18

Результат сообщите здесь, пожалуйста.
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных