Перейти к содержимому


Фотография
- - - - -

Тоже словил dalneken@tutanota.de

tutanota

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 5

#1 OFF   CandyA

CandyA

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 19 March 2020 - 10:49

Доброго времени!

 

17 марта утром прошло шифрование файлов.

Kaspersky Virus Removal Tool ничего не нашел.

Логи Farbar Recovery Scan Tool, подпись шифратора и зашифрованный файл прилагаю

Прикрепленные файлы

  • Прикрепленный файл  Readme.txt   177байт   скачиваний 1
  • Прикрепленный файл  FRST.txt   72.34К   скачиваний 1
  • Прикрепленный файл  Addition.txt   81.05К   скачиваний 1
  • Прикрепленный файл  CDR.7z   57.47К   скачиваний 1

  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 19 March 2020 - 11:02

Здравствуйте!

К сожалению, результат тот же, CryptConsole 3 и расшифровки нет.
Система под переустановку или будем чистить?
  • 0
Изображение

#3 OFF   CandyA

CandyA

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 19 March 2020 - 12:54

рискну почистить, ради опыта


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 19 March 2020 - 13:17

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

RDP Wrapper Library
WinZip 24.0

Об установленных программах удаленного доступа Radmin, Remote Viewer, TeamViewer вам известно? Если нет, тоже удалите.

Затем
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {08c409d4-f4e0-11e7-a293-408d5cca77c2} - 华为手机助手安装向导.exe
    HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {1a04b8c5-9d05-11e7-9448-408d5cca77c2} - F:\startme.exe
    HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {6ac415c0-7592-11e7-b38f-806e6f6e6963} - E:\SETUP.EXE
    HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {889f5e9e-35cb-11ea-acc6-408d5cca77c2} - E:\SISetup.exe
    HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {aeba33f8-1474-11e8-a917-408d5cca77c2} - 华为手机助手安装向导.exe
    HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2043b0-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
    HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2043c0-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
    HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec204416-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
    HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2049c2-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
    HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2049d2-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
    HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2049e5-57f3-11e8-a340-408d5cca77c2} - G:\AutoRun.exe
    HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ee05fe3e-b7b9-11e8-a50b-408d5cca77c2} - F:\Setup.exe
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Readme.txt [2020-03-17] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    S3 TermService; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL)
    S3 TermService; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL)
    2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\Roaming\Readme.txt
    2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Readme.txt
    2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Readme.txt
    2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\LocalLow\Readme.txt
    2020-03-17 07:36 - 2020-03-17 07:36 - 000000177 _____ C:\Users\user\Readme.txt
    2020-03-17 07:36 - 2020-03-17 07:36 - 000000177 _____ C:\Users\user\AppData\Readme.txt
    2020-03-17 07:35 - 2020-03-17 07:35 - 000000177 _____ C:\Users\Public\Readme.txt
    2020-03-17 07:34 - 2020-03-17 07:34 - 000000177 _____ C:\Users\Все пользователи\Readme.txt
    2020-03-17 07:34 - 2020-03-17 07:34 - 000000177 _____ C:\ProgramData\Readme.txt
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [406]
    AlternateDataStreams: C:\ProgramData\TEMP:79EA65FB [350]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   CandyA

CandyA

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 20 March 2020 - 13:08

Удалить все RDP'шные проги пока не удалось (нет деинсталляторов) вернусь к этому в понедельник. пока фиксанул так.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   6.64К   скачиваний 1

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 23 March 2020 - 12:42

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
Изображение





Темы с аналогичными тегами: tutanota

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных