Plaguer 0 Опубликовано 14 апреля, 2017 Share Опубликовано 14 апреля, 2017 (изменено) Здравствуйте. Принесли системный блок (Windows 7 Максимальная SP1 x64) с зашифрованными файлами (шифровальщик "spora ransomware"). Скорее всего по электронной почте прилетело сообщение с вложением .hta которое пользователь не долго думая открыл. Пользователь состоял в группе локальных администраторов, UAC был отключён, на ПК установлен Kaspersky Small Office Security 15.0.2.396. Следов трояна (подозрительный файл .hta, его exe-шник) не нашёл. Теневые копии файлов удалены. Надеюсь на Вашу помощь в расшифровке. CollectionLog-2017.04.14-12.17.zip Изменено 14 апреля, 2017 пользователем Plaguer Ссылка на сообщение Поделиться на другие сайты
kmscom 2 356 Опубликовано 14 апреля, 2017 Share Опубликовано 14 апреля, 2017 внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи». Ссылка на сообщение Поделиться на другие сайты
Plaguer 0 Опубликовано 14 апреля, 2017 Автор Share Опубликовано 14 апреля, 2017 Добавил файл протоколов во вложение к 1-му сообщению. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 14 апреля, 2017 Share Опубликовано 14 апреля, 2017 Здравствуйте! Система загружена в режиме защиты от сбоев (SafeMode)Почему? В обычном режиме Автологер не запускается? Если запускается, переделайте из обычного режима. Ссылка на сообщение Поделиться на другие сайты
Plaguer 0 Опубликовано 14 апреля, 2017 Автор Share Опубликовано 14 апреля, 2017 Добавил отчёт Автологера из обычного режима во вложение к этому сообщению. CollectionLog-2017.04.14-15.58.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 14 апреля, 2017 Share Опубликовано 14 апреля, 2017 Два антивируса - лишнее. Оставьте один, второй удалите: Чистка системы после некорректного удаления антивируса. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Plaguer 0 Опубликовано 17 апреля, 2017 Автор Share Опубликовано 17 апреля, 2017 Сделано. Addition_17-04-2017 10.02.25.txt FRST_17-04-2017 10.02.25.txt Shortcut_17-04-2017 10.02.25.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 17 апреля, 2017 Share Опубликовано 17 апреля, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://rts.dsrlte.com?affID=na","hxxp://www.google.com/" 2017-04-11 17:13 - 2017-04-11 17:35 - 51550040 _____ () C:\Users\Юлия\AppData\Roaming\1758591618 2017-04-11 17:34 - 2017-04-11 17:34 - 0016682 _____ () C:\Users\Юлия\AppData\Roaming\RUF8D-06OXO-FHTRX-HEHTR-XEFTK-HFZTX-GFXFE-TXOZA-OYYYY.html Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Plaguer 0 Опубликовано 18 апреля, 2017 Автор Share Опубликовано 18 апреля, 2017 Сделано. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 18 апреля, 2017 Share Опубликовано 18 апреля, 2017 С расшифровкой помочь не сможем. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти