Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте!

Вернулся к ноутбуку.
Сделал скриншоты в программах ProcessExplorer и ProcessMonitor.
(Программа Скайп на компьютере не установлена. А в памяти присутствует программа skypehost.)
Собрал логи.
На флешке при переносе файлов появился файл .info.txt с сегодняшним доступом.

.info.txt

CollectionLog-2018.02.26-12.40.zip

screen.zip

Опубликовано

Процесс шифрующий файлы - найден!

Это svchost.exe(netsvcs).

Скрин монитора ресурсов прилагаю.

screen.zip

Опубликовано

Иногда вредоносные программы маскируются под этот файл, но в Вашем случае это не так.

 

Удалите папку Autologger вместе с содержимым. Скачайте заново и повторите CollectionLog.

Опубликовано

Спасибо!

Вот логи.

Еще забыл сказать, что если указанный процесс приостановить, то диск успокаивается, но становится невозможно запустить любую программу.

CollectionLog-2018.03.05-11.00.zip

Опубликовано

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
Вероятно система обновляется, из-за этого и "тормозит". Дождитесь окончания обновления и сообщите результат.
Опубликовано

Фикс произвел.

Если приостановить указанный svchost.exe, вместе с ним останавливаются 3 процесса:

SearchUI.exe
ShellExperienceHost.exe
SkypeHost.exe

Которые запускаются следующими строками:

"C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe" -ServerName:CortanaUI.AppXa50dqqa5gqv4a428c9y1jjw7m3btvepj.mca

"C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe" -ServerName:App.AppXtk181tbxbce2qsex02s8tw7hfxa9xb3t.mca

"C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkypeHost.exe" -ServerName:SkypeHost.ServerServer

Каталог с которым работает svchost вот такой:

 Содержимое папки c:\Windows\SoftwareDistribution\Download

05.03.2018  12:03    <DIR>          079b85869c16538febb1809af4ebaeee
25.02.2017  15:28    <DIR>          2bcec784902f1c8b3aca9721ac08244c
14.08.2017  21:17    <DIR>          2c61697c2b32bc4cb79e167069472a4f
05.03.2018  12:11    <DIR>          302bc7ed35b74a8c174b8e78363283d5
13.08.2017  23:35    <DIR>          3d771220a80188db46bc23d76ebc2f78
13.08.2017  23:35    <DIR>          47693728e374003d155d04dd0e29b700
13.08.2017  23:35    <DIR>          499b9a32a59787940c1baf98941375e3
05.03.2018  12:04    <DIR>          5590472ab197c15617899d3587f97c4d
13.08.2017  23:35    <DIR>          6565beff1b7a86fd712d52353d7caa16
14.08.2017  21:16    <DIR>          c045feb455331ec9265fd044041293ef
08.02.2018  16:56    <DIR>          c3d43459fe0a382643ae8c3046989bb7
13.08.2017  23:35    <DIR>          cc38c614757069993059973dc1562649
08.02.2018  16:56    <DIR>          cdd7f68501a321758e2de7f9184e8d5a
08.02.2018  16:56    <DIR>          e0d31884d439c8235f8c3db2c7403a01
13.08.2017  23:35    <DIR>          e20d188294715076cf3e13a8e9db118e
03.07.2017  17:38        44 003 024 fa55118639f665d58899d11e8c1c1619e39baf4a
14.08.2017  21:17    <DIR>          fec8a9f32abe7c9d52f02746f71d4049

Работа происходит с каталогом оканчивающимся на d5. Вот как он выглядит внутри:

 Содержимое папки C:\Windows\SoftwareDistribution\Download\302bc7ed35b74a8c174b8e78363283d5

08.07.2017  10:23               713 amd64_000a8ac39718427ec71dd3cdb653c199_31bf3856ad364e35_10.0.10586.494_none_07db0a652e170af5.manifest
08.07.2017  10:23               713 amd64_00140955cb80bb096761a7fe4d169af9_31bf3856ad364e35_10.0.10586.494_none_447f480a163e48c8.manifest
08.07.2017  10:23             1 093 amd64_00217a36551ceaacf91244a0832a0e01_31bf3856ad364e35_10.0.10586.672_none_9500ad5b5068fe90.manifest
08.07.2017  10:23               727 amd64_002761748e37c990b21fdcf5562d24d2_31bf3856ad364e35_10.0.10586.17_none_92dba9f37ee58fc9.manifest
08.07.2017  10:23               720 amd64_0028149ecc4ad8d5801e828c282aae9a_31bf3856ad364e35_10.0.10586.672_none_c576628322df9e30.manifest
08.07.2017  10:23               666 amd64_00288240f4b53dfd260596edde9a235b_b03f5f7f11d50a3a_4.0.10586.916_none_54e6d8f979ca8b2d.manifest
08.07.2017  10:23             1 046 amd64_002da15fc0983356613a772302653f6d_31bf3856ad364e35_11.0.10586.1007_none_f3e0173fe870f893.manifest

И порядка 5 тысяч подобных файлов и каталогов с цифро-буквенными именами.

Не думаю, что таким образом происходит обновление....

Оставлял ноутбук на несколько часов, диск все так же загружен.

Скриншот Processexplorer'a и полный список каталога в котором работает svchost прилагаю.

screen.zip

Опубликовано

Java у вас установлена старая (дрявая), удалите её. Если нужна для работы, то потом скачайте и поставьте старую.

 

 


Если приостановить указанный svchost.exe, вместе с ним останавливаются 3 процесса:
с такой паронойей ставить windows 10 противопоказано.

Да и по системному журналу ошибок у вас действительно есть события связанные с Cortana, только к вирусам это никакого отношения не имеет. Если хотите можете создать тему в соседнем разделе: Компьютерная помощь

  • Согласен 1
Опубликовано

Конечно, это не мой ноут. У меня ХР :))

 

Про Java и тему я понял.

Спасибо!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • vicnh
      Автор vicnh
      Доброго времени суток

      Все файлы зашифрованы с расширением xtbl.

      Касперский для Windows Workstation (корпоративная версия, лицензия) вируов не обнаружил.

      Kaspersky VRT нашел cnxExt.dll.

      Я нашел в реестре в ключе пользователя Run подозрительный файл

      "C:\ProgramData\Windows\csrss___1.exe" (добавил к названию ___1 чтоб не запускался).

      Этот файл сидит в папках (см. скрин во вложении)

      Нужна Ваша помощь в расшифровке и защите ПК сети. Лог AVZ на скрепке

      Спасибо
      CollectionLog-2015.10.15-21.42.zip
      report1.log
      report2.log
    • Kharn_betrayer
      Автор Kharn_betrayer
      Здравствуйте, были зашифрованы графические файлы, сразу сделал проверку cureit, вирус был удален но зашифрованные файлы соответственно остались, название вируса к сожалению не оставил
      CollectionLog-2015.10.19-11.51.zip
    • Raptor89
      Автор Raptor89
      Здравствуйте! Помогите расшифровать файлы xtbl!
       
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 80EE64E930646DCF8DDC|0 на электронный адрес files100005@gmail.com или files100006@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 80EE64E930646DCF8DDC|0 to e-mail address files100005@gmail.com or files100006@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.  
      Лог прилагается.
      CollectionLog-2015.11.03-09.22.zip
    • sherzot_1982
      Автор sherzot_1982
      Здравствуйте! После подключения моего компьютера к сети интернет вирус зашифровал мои вордовские файлы. Не могу их расшифровать. Первым делом пробовал восстановить систему. Но не получилось. Не стал устанавливать антивирус и обратился к вам. 
      Убедительная просьба помочь в данной проблеме. Файлы очень важные. 
       
      Ниже приведены логи.
      CollectionLog-2015.10.21-11.09.zip
    • Peters63
      Автор Peters63
      После попытки открыть ссылку на сайте с рецептами и предупреждения антивируса, пропали значки на раб. столе, через некоторое время они появились видоизмененные. Были сделаны две перезагрузки компьютера, проведена полная проверка Касперским 6.0 WS, обнаружен вирус TROJAN.WIN32.FSYSNA.CKAA и отправлено в карантин два зараженных файла. Еще раз проверено  KRemovalTool 2015 и запущен Autologger.
      Прошу помочь восстановить файлы т.к. это рабочий комп. и информация служебная.
      CollectionLog-2015.10.30-12.22.zip
×
×
  • Создать...