Перейти к содержанию

Neitrino повреждены файлы


Рекомендуемые сообщения

Добрый день. По электронной почте было получены 2 письма с подозрительными вложениями. На следующий день обнаружили шифрование файлов с расширением .neitrino. Помогите, пожалуйста, справиться с проблемой. 

Addition.txt

FRST.txt

CollectionLog-2016.06.07-16.12.zip

Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  •  



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CloseProcesses:
HKLM-x32\...\Run: [Kinoroom Browser] => "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" -autorun
HKLM\...\Policies\Explorer\Run: [AppDownloads] => C:\Program Files (x86)\Common Files\D33F5AB9-93E4-4853-918A-B257ACAB9410\BAC242BD-EA99-4C1F-A521-0AEF67CA10F7.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}
HKU\S-1-5-21-284963711-3495955792-3423792795-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9
SearchScopes: HKU\S-1-5-21-284963711-3495955792-3423792795-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://istart.webssearches.com/?type=sc&ts=1411101443&from=tugs&uid=KINGSTONXSV300S37A120G_50026B77450501D9
OPR Extension: (Smart Browser™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\aeajehgeohhgjbhhbicilpenjfcbfnpg [2016-06-06]
OPR Extension: (Smart Browser™) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhmpnibiagopmobamhlgaghkojlcjnfn [2016-06-06]
R1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw64; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys [61080 2014-09-08] (StdLib)
2016-06-06 20:34 - 2014-09-19 09:38 - 00000000 ____D C:\Users\User\AppData\Local\globalUpdate
Task: {15520436-E285-48D5-9070-2FFBBE8E6671} - \Microsoft\Windows\extsetuponce -> No File <==== ATTENTION
Task: {70A9609C-F032-4C85-9B39-482E24AF8A8E} - \Microsoft\Windows\342AC705-00C4-42DC-AAF2-C00D80587FE2 -> No File <==== ATTENTION
Task: {7910ACF4-8804-4233-B5B2-9ACD33D80217} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {81A97BDA-50B9-4682-94B8-2BCA042732E5} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
Task: {9BA6272B-7C1A-4CAF-9C39-505F0EF4AD77} - \Microsoft\extsetup -> No File <==== ATTENTION
Task: {9BC056CE-4DD7-40E6-B772-22A220F79FBA} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {A1AA358D-4EAE-41A9-B3E4-F69C4F8F6930} - \Microsoft\extsetuponce -> No File <==== ATTENTION
Task: {AD01CCA6-42E5-4D16-ABB4-08D17B3BA059} - \Microsoft\Windows\A342AC705-00C4-42DC-AAF2-C00D80587FE2 -> No File <==== ATTENTION
Task: {EC7E1B24-F9BD-42CE-AB02-F6F3A163CD1F} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {EE5796B1-8A8F-4155-B92E-C32121F9508F} - System32\Tasks\nethost task => C:\Users\User\AppData\Local\SystemDir\nethost.exe <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • SEcrash63
      От SEcrash63
      Доброго всем времени суток.
      Может быть кто сможет помочь, с такой проблемой.
      Имеется ПК с установленной W7 x64 (без SP1, установить не могу обновление, ругается на поврежденное хранилище)
       
      Случилась проблема что перестали работать многие сетевые службы и другие, ПК перестал выходить в интернет, получать Ip и много чего.
      Частично проблемы удалось исправить, но привести полностью в рабочее состояние так и не удалось. Журнал событий ругается как минимум на две ошибки,  одна из них проблема со службой
      "Служба "Служба политики диагностики" завершена из-за ошибки. Не удается найти указанный файл." 
      И "Не удается найти описание для идентификатора события 0 из источника .NET Runtime. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере. .NET Runtime version : 2.0.50727.8806 - Отладчик не найден.Не указан зарегистрированный отладчик JIT"
       
      Делал сканирование системы SFC \SCANNOW говорит проблемы есть, но починить не могу.
      Делал DISM /Online /Cleanup-Image /ScanHealth - по его логам с доноров пособирал большую часть файлов, часть выкорчевывал из пакетов обновлений, но не все удалось найти. 
      Антивирус был все время Kaspersky, после появления проблем временно все удалил. Сейчас никакого антивируса нет.
      Логи и того и другого прилагаю.
      Подскажите может кто сможет поделится файлами из лога CheckSUR.
      Или может быть подскажете другие пути решения проблемы? (Систему с нуля бы поставил, было бы проще, но в данном случае это не предоставляется возможным, очень важно сохранить рабой вариант текущей)
       
      Заранее спасибо.
       
      CBS.log CheckSUR7.log sfcdetails.txt SFCFix.txt
    • KrivosheevYS
      От KrivosheevYS
      Здравствуйте!
      Поймали шифратор Neshto, зашифрованы файлы в корне папок диска (вложенные папки остались не повреждены)! расширение .XEXK просим о помощи в расшифровке.
      Файл с логами прилагается.
      Neshta.rar
    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • skyinfire
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

×
×
  • Создать...