Перейти к содержанию

Sandor

Консультанты
  • Публикаций

    11 901
  • Points

  • Зарегистрирован

  • Посещение

  • Победитель дней

    57

Sandor стал победителем дня 19 апреля

Sandor имел наиболее популярный контент!

Репутация

792

Информация о Sandor

  • Other groups Старожилы
  • Статус
    Вежливый хелпер
  • День рождения 14 марта

Информация

  • Пол
    Мужчина
  • Город
    Рыбница

Посетители профиля

1 795 просмотров профиля
  1. А при чём тут XP? У вас ведь Microsoft Windows 7 Максимальная Service Pack 1 (X86). Удалите старые и соберите новые отчёты FRST.txt и Addition.txt
  2. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
  3. После выполнения скрипта вы утилиту KVRT скачали заново?
  4. Здравствуйте! Расшифровки этой версии вымогателя нет. Сообщите нужна ли помощь по очистке системы от его следов.
  5. Нет, не мешает. Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\...\Policies\Explorer: [NoAutoUpdate] 1 HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\Software\Policies\...\system: [GroupPolicyRefreshTime] 10 HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\Software\Policies\...\system: [GroupPolicyRefreshTimeOffset] 10 HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\Software\Policies\...\system: [GroupPolicyMinTransferRate] 500 HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\...\MountPoints2: {06b3707d-84d4-11e8-abe3-d43d7efa478b} - H:\AUTORUN.EXE HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1 HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe GroupPolicy: Restriction ? <==== ATTENTION 2020-05-21 14:59 - 2020-05-27 10:09 - 000000000 __SHD C:\ProgramData\Doctor Web 2020-05-21 14:59 - 2020-05-26 09:31 - 000000000 __SHD C:\Program Files\RDP Wrapper 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Windows\NetworkDistribution 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Windows\McMwt 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Norton 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\McAfee 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Kaspersky Lab 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\grizzly 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\ESET 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Avg 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\AVAST Software 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\SpyHunter 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Malwarebytes 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Kaspersky Lab 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\ESET 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Enigma Software Group 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\COMODO 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Cezurity 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\ByteFence 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\AVG 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\AVAST Software 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\AdwCleaner 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\Windows\svchost.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\Windows\java.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\Windows\boy.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\ProgramData\script.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\ProgramData\olly.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\ProgramData\kz.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____S C:\ProgramData\lsass.exe 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\MB3Install 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\Malwarebytes 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\Indus 2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\Avira 2020-05-21 14:58 - 2020-05-27 08:18 - 000000000 __SHD C:\ProgramData\RunDLL 2020-05-21 14:58 - 2020-05-27 08:18 - 000000000 __SHD C:\ProgramData\install 2020-05-21 14:58 - 2020-05-26 09:31 - 000000000 __SHD C:\ProgramData\Windows 2020-05-21 14:58 - 2020-05-25 16:19 - 000000000 __SHD C:\ProgramData\WindowsTask 2020-05-21 14:58 - 2020-05-25 16:19 - 000000000 __SHD C:\ProgramData\RealtekHD 2020-05-21 14:58 - 2020-05-21 14:58 - 000000000 __SHD C:\Windows\system32\%APPDATA% FirewallRules: [{0081CC45-7CBC-4C57-A481-2C8C1471DCEE}] => (Block) LPort=445 FirewallRules: [{2A364EDB-7AF6-4B36-93D6-2BCE4BE5DB87}] => (Block) LPort=445 FirewallRules: [{30917BD9-BB0F-4365-BF8A-0811FD7B4E01}] => (Block) LPort=139 FirewallRules: [{803427D0-8FE1-48DD-BDC0-7B0B7D5544AA}] => (Block) LPort=139 FirewallRules: [{D848AFDD-1785-45A8-BDEA-D755EDF82FD5}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File FirewallRules: [{F428703A-53A9-4059-A438-4AE181B0023A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File FirewallRules: [{C8DABE07-3D1A-4CDF-B797-F110EE7D0B4E}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File FirewallRules: [{223B7A0D-0D5B-47FB-B442-CB4305957A19}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File FirewallRules: [{27587383-A650-4DD9-9E5D-C6824ECCD05A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File FirewallRules: [{27E24930-E9D2-4575-AA5E-D038D806F170}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File FirewallRules: [{D34F85D0-FED6-4EEC-A624-A1158D3D4E43}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => No File FirewallRules: [{10584486-54A1-4A78-816E-B0B23F680B6E}] => (Allow) C:\ProgramData\windows\rutserv.exe => No File FirewallRules: [{D84965D6-A777-4932-8DC2-7E3924DA990A}] => (Allow) C:\ProgramData\rundll\system.exe => No File FirewallRules: [{83BB5110-3DD9-4504-92D4-6815F25EBF72}] => (Allow) C:\ProgramData\rundll\rundll.exe => No File FirewallRules: [{E55DACA0-724C-4478-8C24-11762102BED3}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => No File FirewallRules: [{F2923A7A-9158-4082-AA59-BD69C1D6E010}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => No File FirewallRules: [{473C0B40-539C-4E24-B095-16E8AF2ED81B}] => (Allow) LPort=9494 FirewallRules: [{1A55E172-6BE4-4740-AD09-F0F9DC55DEBC}] => (Allow) LPort=9393 FirewallRules: [{8F1BA702-5F13-4CE7-A698-F2AB984BB88C}] => (Allow) LPort=9494 FirewallRules: [{5FEFAA0C-F7FC-48BE-AD5E-575BAE7E5C23}] => (Allow) LPort=9393 FirewallRules: [{BFC6AFA2-A6CC-4C0E-A2A4-EAB0216ED168}] => (Allow) LPort=3389 FirewallRules: [{FB25CDE3-E3AC-44BF-B28C-98B36DA55A1A}] => (Allow) C:\Program Files\360\Total Security\softmgr\360InstantSetup.exe => No File FirewallRules: [{4DCBAD83-FFDB-40FA-8B2F-9223CB6D7AE1}] => (Allow) C:\Program Files\360\Total Security\softmgr\360InstantSetup.exe => No File FirewallRules: [{4558A3F6-D824-4D9B-B2D7-6C7A9662C8A5}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File FirewallRules: [{A49AA744-C7BB-48AE-9C68-CDA0C3846446}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File FirewallRules: [{97829526-CE50-451D-9962-0FAAE6C2795E}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File FirewallRules: [{FA2A6FFC-1C82-4D94-9EF1-2394A7B928F4}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File FirewallRules: [{B9EB3C2C-44B3-42AC-94C8-0C177F4545B1}] => (Allow) C:\Program Files\360\Total Security\safemon\QHSafeTray.exe => No File FirewallRules: [{732A7164-0145-40FE-9E80-C82607EED9AB}] => (Allow) C:\Program Files\360\Total Security\safemon\QHSafeTray.exe => No File EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
  6. Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 2020-05-27 14:41 - 2020-05-27 14:41 - 000013916 _____ () C:\Users\kotelevets\AppData\Roaming\Info.hta Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
  7. Здравствуйте! "Пофиксите" в HijackThis: O4 - HKCU\..\Run: [C:\Users\kotelevets\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\kotelevets\AppData\Roaming\Info.hta" O4 - HKLM\..\Run: [1344.exe] = C:\Windows\System32\1344.exe (file missing) O4 - Startup other users: C:\Users\Delta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1344.exe -> (PE EXE) O4 - Startup other users: C:\Users\kolomiec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1344.exe -> (PE EXE) O4 - Startup other users: C:\Users\posohova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1344.exe -> (PE EXE) O4 - User Startup: C:\Users\kotelevets\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
  8. Здравствуйте! Тип вымогателя Dharma (.cezar Family) или Crysis по терминологии ЛК. К сожалению, расшифровки нет. Потому что запускать его следует не из терминальной сессии, а непосредственно на самом компьютере.
  9. Очень старая и уязвимая версия Java(TM) 6 Update 16. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
  10. Способов много, от взлома RDP до физического входа злоумышленника, имеющего доступ.
  11. Здравствуйте! Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Windows\rutserv.exe', ''); QuarantineFile('C:\Users\disp9\AppData\Local\Temp\ОЗУ\iec104.dll', ''); QuarantineFile('C:\Windows\java.exe', ''); QuarantineFile('C:\Windows\svchost.exe', ''); DeleteFile('C:\ProgramData\Windows\rutserv.exe', '32'); DeleteService('RManService'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true); end. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.
  12. Время начала заражения - 2020-05-25 19:49 Как правило, вымогатель попадает в систему после взлома RDP, делает свою работу и само удаляется. Читайте Рекомендации после удаления вредоносного ПО
×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.