Перейти к содержимому


Фотография
- - - - -

Coronavirus

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 5

#1 OFF   Grecener

Grecener

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 16 February 2020 - 17:46

Добрый день, случилась такая же беда, что и у Lom1k.

Помогите пожалуйста чем можно.

Сделал все как описано ранее, прикладываю фалы, сделано на зараженной машине. 

 

[mod='Mark D. Pearlstone']Перемещено из темы.[/mod]

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   68.66К   скачиваний 1
  • Прикрепленный файл  Addition.txt   28.43К   скачиваний 1
  • Прикрепленный файл  info.hta.zip   150.24К   скачиваний 0

  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15060

Награды

           

Отправлено 16 February 2020 - 18:14

Увы, с расшифровкой помочь не сможем. Будет только зачистка мусора, в т.ч. и до сих пор активного шифратора.

1. Выделите следующий код:
Start::
CreateRestorePoint:
HKLM\...\Run: [1corona.exe] => C:\Windows\System32\1corona.exe [94720 2020-02-14] () [File not signed]
C:\Windows\System32\1corona.exe
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2020-02-16] () [File not signed]
HKLM\...\Run: [C:\Users\dostyp\AppData\Roaming\Info.hta] => C:\Users\dostyp\AppData\Roaming\Info.hta [13919 2020-02-14] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-16] () [File not signed]
Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-16] () [File not signed]
Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-14] () [File not signed]
C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-14] () [File not signed]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2020-02-16 17:22 - 2020-02-16 17:22 - 000094720 _____ C:\Users\Dmitriy\AppData\Roaming\1corona.exe
2020-02-16 17:22 - 2020-02-16 17:22 - 000013919 _____ C:\Users\Dmitriy\AppData\Roaming\Info.hta
2020-02-14 19:02 - 2020-02-16 17:22 - 000013919 _____ C:\Windows\system32\Info.hta
2020-02-14 19:02 - 2020-02-14 19:02 - 000013919 _____ C:\Users\dostyp\AppData\Roaming\Info.hta
2020-02-14 19:01 - 2020-02-16 17:22 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-14 19:01 - 2020-02-16 17:22 - 000000170 _____ C:\FILES ENCRYPTED.txt
2020-02-14 19:01 - 2020-02-14 19:01 - 000000170 _____ C:\Users\dostyp\Desktop\FILES ENCRYPTED.txt
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\Dmitriy\AppData\Roaming\1corona.exe
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   Grecener

Grecener

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 16 February 2020 - 18:38

Скажите пожалуйста, а бывает что появляется ключ для расшифровки со временем? 

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   4.96К   скачиваний 0

Сообщение отредактировал Grecener: 16 February 2020 - 18:47

  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15060

Награды

           

Отправлено 16 February 2020 - 20:50

Ключи от ранних версий этого шифратора появились только после слива их самими злоумышленниками. Но это было уже очень давно.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   Grecener

Grecener

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 17 February 2020 - 11:48

Добрый день! Спасибо за помощь, зараженный комп ожил и перестал шифровать все что видел, у меня в сети 8 компьютеров, зашифрованные файлы обнаружились на все, в основном в папке c\users\publik, но один комп пострадал глобально, зашифровано почти все! Посмотрите пожалуйста файлы отчета с этого второго компьютера. заранее спасибо большое.

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   57.81К   скачиваний 1
  • Прикрепленный файл  FRST.txt   81.58К   скачиваний 1
  • Прикрепленный файл  info.hta.zip   150.24К   скачиваний 0

  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15060

Награды

           

Отправлено 17 February 2020 - 17:24

Тут только мусор зачистим.
 

Амиго
Кнопка "Яндекс" на панели задач
Менеджер браузеров

 

удалите через Установку программ.

1. Выделите следующий код:

Start::
CreateRestorePoint:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {1E5E63E4-4F9B-482F-B9F7-98C284683994} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных