Перейти к содержанию

Рекомендуемые сообщения

Зашифровались все файлы после открытия письма! Нашел вирус защитник windows

Объекты:

windows file:C:\ProgramData\fa31163e00000583\fa31163e00000583.dll
containerfile:C:\Users\kss\AppData\Local\Temp\37961F14.exe
containerfile:C:\Users\kss\AppData\Local\Temp\DEBCBAEA.exe
file:C:\Users\kss\AppData\Local\Temp\37961F14.exe->(UPX)
file:C:\Users\kss\AppData\Local\Temp\DEBCBAEA.exe->(UPX)

containerfile:C:\Users\kss\AppData\Local\Temp\BBEC2326.exe
file:C:\Users\kss\AppData\Local\Temp\BBEC2326.exe->(UPX)

 

 

Прикрепляю файлы логи из программы FRST и DRWEB Cureit

Еще сделал стандартный скрипт в АВЗ на вирусы, лог прикрепил

 

FRST.txt

Addition.txt

cureit.rar

virusinfo_syscheck.zip

Изменено пользователем Nerius
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1435307247&z=b9addbf529d62cc468dba62g9zdc7w4c0eam1ofb6g&from=cor&uid=OCZ-VERTEX3_OCZ-8UN4F866NX82K81G&q={searchTerms}
2016-04-14 18:04 - 2016-04-14 18:06 - 00000000 ____D C:\Users\kss\AppData\Local\UWmedia
2016-04-14 18:04 - 2016-04-14 18:04 - 00000000 ____D C:\Users\kss\AppData\Local\Oxics
2016-04-14 18:00 - 2016-04-14 18:00 - 03932214 _____ C:\Users\kss\AppData\Roaming\8196A3DB8196A3DB.bmp
2016-04-14 17:13 - 2016-04-14 17:13 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-14 17:13 - 2016-04-14 17:13 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\kss\AppData\Local\Temp\948FF78F.exe
zip:C:\FRST\Quarantine
2016-04-14 19:01 - 2015-06-26 16:30 - 00000000 ____D C:\Users\Все пользователи\fa31163e00000583
2016-04-14 19:01 - 2015-06-26 16:30 - 00000000 ____D C:\ProgramData\fa31163e00000583



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты


 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:

 


Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KOMK
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Игорь_Белов
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • __Михаил__
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
    • Stanislav42
      Автор Stanislav42
      Добрый день! Пострадало несколько windows-устройств от действий шифровальщика и вымогает за расшифровку деньги.
      Прошу оказать помощь в расшифровке файлов.
      Отправляю архив с образцами файлов и с текстом требований, а также логи FRST.
      Шифрование произошло в ночное время. Журнал событий Windows очищен. Устройства перезагружались.
      Системы изолированы на данный момент. Исполняемый файл найден и подготовлен к отправке. 
      образцы файлов.zip Addition.txt FRST.txt
    • foroven
      Автор foroven
      Добрый день. Схватили шифровальщика. Предположительно взломали подбором пароля к RDP. В сети Logs$files.7zна компьютере с установленным антивирусом Касперского, выдал предупреждение об атаке, брутфорс на порт 3389
×
×
  • Создать...