gipson 0 Опубликовано 12 декабря, 2016 Share Опубликовано 12 декабря, 2016 Здравствуйте ! Файлы компьютера зашифрованы Winnix Cryptor Ransomware с расширением *.wnx Высылаю отчёт AutoLogger CollectionLog-2016.12.12-15.27.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 12 декабря, 2016 Share Опубликовано 12 декабря, 2016 Как получили шифровальщика? Если через письмо, то пришлите копию письма мне в ЛС. 2016-12-08 13:58:04 ----A---- C:\Windows\logs.cmdФайл знаком? Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
gipson 0 Опубликовано 12 декабря, 2016 Автор Share Опубликовано 12 декабря, 2016 Файл C:\Windows\logs.cmd присутствует. Каким образом было осуществлено заражение неизвестно. KAV сообщил о : "10.12.2016 14.18.14 Обнаружен объект (файл) C:\Documents and Settings\Наташа\AppData\Roaming\VOPackage\VOPackage.exe Файл: C:\Documents and Settings\Наташа\AppData\Roaming\VOPackage\VOPackage.exe Название объекта: not-a-virus:HEUR:Adware.NSIS.ConvertAd.heur10.12.2016 14.18.14 Обнаружен объект (файл) C:\Documents and Settings\Наташа\AppData\Roaming\VOPackage\Uninstall.exe Файл: C:\Documents and Settings\Наташа\AppData\Roaming\VOPackage\Uninstall.exe Название объекта: not-a-virus:HEUR:Adware.NSIS.ConvertAd.heur10.12.2016 14.18.14 Обнаружен объект (файл) C:\Documents and Settings\Наташа\AppData\Roaming\VOPackage\Uninstall.exe//# Файл: C:\Documents and Settings\Наташа\AppData\Roaming\VOPackage\Uninstall.exe//# Название объекта: not-a-virus:HEUR:Adware.NSIS.ConvertAd.heur" NOD сообщил о : C:\YOUR FILES ARE ENCRYPTED!.txt Win32/Filecoder.Winnix.A троянская программа C:\Users\Public\Desktop\YOUR FILES ARE ENCRYPTED!.txt Win32/Filecoder.Winnix.A троянская программа C:\Users\Наташа\AppData\Roaming\VOPackage\Uninstall.exe Win32/Adware.ConvertAd.AQ приложение C:\Users\Наташа\AppData\Roaming\VOPackage\VOPackage.exe модифицированный Win32/Adware.ConvertAd.KZ.gen приложение CollectionLog-2016.12.12-15.27.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 12 декабря, 2016 Share Опубликовано 12 декабря, 2016 Я просил другие логи. Ссылка на сообщение Поделиться на другие сайты
gipson 0 Опубликовано 12 декабря, 2016 Автор Share Опубликовано 12 декабря, 2016 https://yadi.sk/d/j3_m9k0a33DbnK Addition.txt и FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 12 декабря, 2016 Share Опубликовано 12 декабря, 2016 Логи на форум выкладываете. Ссылка на сообщение Поделиться на другие сайты
gipson 0 Опубликовано 13 декабря, 2016 Автор Share Опубликовано 13 декабря, 2016 Доброе утро. Выложил. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 13 декабря, 2016 Share Опубликовано 13 декабря, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\drives.cmd [2014-04-15] () GroupPolicy: Restriction <======= ATTENTION CHR HKU\S-1-5-21-4066850206-3971249192-761215802-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION 2016-12-11 20:14 - 2016-12-11 20:14 - 00000000 ____D C:\Users\Все пользователи\s2co 2016-12-11 20:14 - 2016-12-11 20:14 - 00000000 ____D C:\ProgramData\s2co 2016-12-11 20:13 - 2016-12-11 20:13 - 00000000 ____D C:\Users\Все пользователи\s3ss 2016-12-11 20:13 - 2016-12-11 20:13 - 00000000 ____D C:\Users\Все пользователи\s2r8 2016-12-11 20:13 - 2016-12-11 20:13 - 00000000 ____D C:\ProgramData\s3ss 2016-12-11 20:13 - 2016-12-11 20:13 - 00000000 ____D C:\ProgramData\s2r8 2016-12-11 20:10 - 2016-12-11 20:10 - 00000000 ____D C:\Users\Все пользователи\sn4 2016-12-11 20:10 - 2016-12-11 20:10 - 00000000 ____D C:\Users\Все пользователи\s3g0 2016-12-11 20:10 - 2016-12-11 20:10 - 00000000 ____D C:\ProgramData\sn4 2016-12-11 20:10 - 2016-12-11 20:10 - 00000000 ____D C:\ProgramData\s3g0 2016-12-08 13:58 - 2016-05-14 09:47 - 00000188 _____ C:\Windows\logs.cmd Task: {A2F2D0C9-A3D1-4353-96E5-5FD40DDDA467} - System32\Tasks\logs => zip:C:\FRST\Quarantine Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
gipson 0 Опубликовано 13 декабря, 2016 Автор Share Опубликовано 13 декабря, 2016 (изменено) Fix completed. Скопировал Fixlog.txt и созданный архив (с датой в имени) перед перезагрузкой. Отсылаю Результат загрузки Файл сохранён как 161213_140048_13.12.2016_14.45.28_584fd4e100d42.zip Размер файла 3792 MD5 e0be62f45c01876b087240f587991f0c Fixlog.txt Изменено 13 декабря, 2016 пользователем mike 1 Карантин в теме Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 13 декабря, 2016 Share Опубликовано 13 декабря, 2016 Архив с карантином я не просил в теме выкладывать. Трясите короче своих сотрудников и спрашивайте, что они запускали 9 декабря примерно в 8:46 утра. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти