Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте!

Вернулся к ноутбуку.
Сделал скриншоты в программах ProcessExplorer и ProcessMonitor.
(Программа Скайп на компьютере не установлена. А в памяти присутствует программа skypehost.)
Собрал логи.
На флешке при переносе файлов появился файл .info.txt с сегодняшним доступом.

.info.txt

CollectionLog-2018.02.26-12.40.zip

screen.zip

Опубликовано

Процесс шифрующий файлы - найден!

Это svchost.exe(netsvcs).

Скрин монитора ресурсов прилагаю.

screen.zip

Опубликовано

Иногда вредоносные программы маскируются под этот файл, но в Вашем случае это не так.

 

Удалите папку Autologger вместе с содержимым. Скачайте заново и повторите CollectionLog.

Опубликовано

Спасибо!

Вот логи.

Еще забыл сказать, что если указанный процесс приостановить, то диск успокаивается, но становится невозможно запустить любую программу.

CollectionLog-2018.03.05-11.00.zip

Опубликовано

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
Вероятно система обновляется, из-за этого и "тормозит". Дождитесь окончания обновления и сообщите результат.
Опубликовано

Фикс произвел.

Если приостановить указанный svchost.exe, вместе с ним останавливаются 3 процесса:

SearchUI.exe
ShellExperienceHost.exe
SkypeHost.exe

Которые запускаются следующими строками:

"C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe" -ServerName:CortanaUI.AppXa50dqqa5gqv4a428c9y1jjw7m3btvepj.mca

"C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe" -ServerName:App.AppXtk181tbxbce2qsex02s8tw7hfxa9xb3t.mca

"C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkypeHost.exe" -ServerName:SkypeHost.ServerServer

Каталог с которым работает svchost вот такой:

 Содержимое папки c:\Windows\SoftwareDistribution\Download

05.03.2018  12:03    <DIR>          079b85869c16538febb1809af4ebaeee
25.02.2017  15:28    <DIR>          2bcec784902f1c8b3aca9721ac08244c
14.08.2017  21:17    <DIR>          2c61697c2b32bc4cb79e167069472a4f
05.03.2018  12:11    <DIR>          302bc7ed35b74a8c174b8e78363283d5
13.08.2017  23:35    <DIR>          3d771220a80188db46bc23d76ebc2f78
13.08.2017  23:35    <DIR>          47693728e374003d155d04dd0e29b700
13.08.2017  23:35    <DIR>          499b9a32a59787940c1baf98941375e3
05.03.2018  12:04    <DIR>          5590472ab197c15617899d3587f97c4d
13.08.2017  23:35    <DIR>          6565beff1b7a86fd712d52353d7caa16
14.08.2017  21:16    <DIR>          c045feb455331ec9265fd044041293ef
08.02.2018  16:56    <DIR>          c3d43459fe0a382643ae8c3046989bb7
13.08.2017  23:35    <DIR>          cc38c614757069993059973dc1562649
08.02.2018  16:56    <DIR>          cdd7f68501a321758e2de7f9184e8d5a
08.02.2018  16:56    <DIR>          e0d31884d439c8235f8c3db2c7403a01
13.08.2017  23:35    <DIR>          e20d188294715076cf3e13a8e9db118e
03.07.2017  17:38        44 003 024 fa55118639f665d58899d11e8c1c1619e39baf4a
14.08.2017  21:17    <DIR>          fec8a9f32abe7c9d52f02746f71d4049

Работа происходит с каталогом оканчивающимся на d5. Вот как он выглядит внутри:

 Содержимое папки C:\Windows\SoftwareDistribution\Download\302bc7ed35b74a8c174b8e78363283d5

08.07.2017  10:23               713 amd64_000a8ac39718427ec71dd3cdb653c199_31bf3856ad364e35_10.0.10586.494_none_07db0a652e170af5.manifest
08.07.2017  10:23               713 amd64_00140955cb80bb096761a7fe4d169af9_31bf3856ad364e35_10.0.10586.494_none_447f480a163e48c8.manifest
08.07.2017  10:23             1 093 amd64_00217a36551ceaacf91244a0832a0e01_31bf3856ad364e35_10.0.10586.672_none_9500ad5b5068fe90.manifest
08.07.2017  10:23               727 amd64_002761748e37c990b21fdcf5562d24d2_31bf3856ad364e35_10.0.10586.17_none_92dba9f37ee58fc9.manifest
08.07.2017  10:23               720 amd64_0028149ecc4ad8d5801e828c282aae9a_31bf3856ad364e35_10.0.10586.672_none_c576628322df9e30.manifest
08.07.2017  10:23               666 amd64_00288240f4b53dfd260596edde9a235b_b03f5f7f11d50a3a_4.0.10586.916_none_54e6d8f979ca8b2d.manifest
08.07.2017  10:23             1 046 amd64_002da15fc0983356613a772302653f6d_31bf3856ad364e35_11.0.10586.1007_none_f3e0173fe870f893.manifest

И порядка 5 тысяч подобных файлов и каталогов с цифро-буквенными именами.

Не думаю, что таким образом происходит обновление....

Оставлял ноутбук на несколько часов, диск все так же загружен.

Скриншот Processexplorer'a и полный список каталога в котором работает svchost прилагаю.

screen.zip

Опубликовано

Java у вас установлена старая (дрявая), удалите её. Если нужна для работы, то потом скачайте и поставьте старую.

 

 


Если приостановить указанный svchost.exe, вместе с ним останавливаются 3 процесса:
с такой паронойей ставить windows 10 противопоказано.

Да и по системному журналу ошибок у вас действительно есть события связанные с Cortana, только к вирусам это никакого отношения не имеет. Если хотите можете создать тему в соседнем разделе: Компьютерная помощь

  • Согласен 1
Опубликовано

Конечно, это не мой ноут. У меня ХР :))

 

Про Java и тему я понял.

Спасибо!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Екатерина Лучинина
      Автор Екатерина Лучинина
      Пару недель назад, столкнулась с проблемой, ни одну фотографию на компьютере не смогла открыть. Ну думаю, опять вирус подцепила(где и когда, не помню/не знаю), отнесу администратору на работе, должен починить...
      Принесла вчера, а он мне с порога, мол: " --Фигу, что я уже из своих фотографий увижу, если у меня их не было в другом месте." 
      А фотографии я не копировала никуда. В общем после пролитых слез полезла я поискать решение, ну и направило меня сюда.
      Поможите люди добрые, вроде все сделала по инструкции, вот лог.
       

      Ой, задвоилась тема, можно одну удалить?
      CollectionLog-2015.11.10-12.48.zip
      report1.log
      report2.log
    • Alex_hvost
      Автор Alex_hvost
      Добрый день! схожая проблема уже озвучивалась на этом форуме, следуя инструкциям создаю новую тему с тем сообщением что пришло мне:
      на рабочем столе появилась надпись красными буквами на черном экране: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbtl и появилась 6 файлом readme в котором написано:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: B3DF8C1ACB4CD7FA4CD8|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: B3DF8C1ACB4CD7FA4CD8|0 to e-mail address files1147@gmail.com or post100023@gmail.com . Then you will receive all necessary instructions.  
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Прошу вас помочь с разрешением этой ситуации Спасибо
    • borka_e
      Автор borka_e
      Знакомый принес ноутбук, говорит не выходит в интернет, на ноутбуке все или большинство файлов зашифрованы - расширение xtbl, есть ли шансы на восстановление? Согласно инструкции на этом сайте почистил систему: Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. Сделал лог AutoLogger.exe, файл прилагаю. 
      CollectionLog-2015.10.27-10.40.zip
    • bom81
      Автор bom81
      Вирус зашифровал файлы
      примерно минут за 12
       
      сам файл, который запустил пользователь, нашел
      051115scan.scr
       
       
       
      Оставлены 10 файликов  на рабочем столе о том как расшифровать
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 339759B8033610BB2417|288|2|7 на электронный адрес files100001@gmail.com или files100002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 339759B8033610BB2417|288|2|7 to e-mail address files100001@gmail.com or files100002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     могу приложить сам вирус и зашифрованные файлы     возможно ли их будет расшифровать? виндовс переставить не долго, а вот расшифровать... CollectionLog-2015.11.08-14.57.zip
    • vsmzadmin
      Автор vsmzadmin
      Пользователь открыл прикрепленный к письму архив с исполняемым файлом. В результате все документы зашифрованы, имена закодированы, расширение XTBL В файле readme.txt сообщение:  
            CollectionLog-2015.11.10-10.51.zip
×
×
  • Создать...