Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте!

Вернулся к ноутбуку.
Сделал скриншоты в программах ProcessExplorer и ProcessMonitor.
(Программа Скайп на компьютере не установлена. А в памяти присутствует программа skypehost.)
Собрал логи.
На флешке при переносе файлов появился файл .info.txt с сегодняшним доступом.

.info.txt

CollectionLog-2018.02.26-12.40.zip

screen.zip

Опубликовано

Процесс шифрующий файлы - найден!

Это svchost.exe(netsvcs).

Скрин монитора ресурсов прилагаю.

screen.zip

Опубликовано

Иногда вредоносные программы маскируются под этот файл, но в Вашем случае это не так.

 

Удалите папку Autologger вместе с содержимым. Скачайте заново и повторите CollectionLog.

Опубликовано

Спасибо!

Вот логи.

Еще забыл сказать, что если указанный процесс приостановить, то диск успокаивается, но становится невозможно запустить любую программу.

CollectionLog-2018.03.05-11.00.zip

Опубликовано

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
Вероятно система обновляется, из-за этого и "тормозит". Дождитесь окончания обновления и сообщите результат.
Опубликовано

Фикс произвел.

Если приостановить указанный svchost.exe, вместе с ним останавливаются 3 процесса:

SearchUI.exe
ShellExperienceHost.exe
SkypeHost.exe

Которые запускаются следующими строками:

"C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe" -ServerName:CortanaUI.AppXa50dqqa5gqv4a428c9y1jjw7m3btvepj.mca

"C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe" -ServerName:App.AppXtk181tbxbce2qsex02s8tw7hfxa9xb3t.mca

"C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkypeHost.exe" -ServerName:SkypeHost.ServerServer

Каталог с которым работает svchost вот такой:

 Содержимое папки c:\Windows\SoftwareDistribution\Download

05.03.2018  12:03    <DIR>          079b85869c16538febb1809af4ebaeee
25.02.2017  15:28    <DIR>          2bcec784902f1c8b3aca9721ac08244c
14.08.2017  21:17    <DIR>          2c61697c2b32bc4cb79e167069472a4f
05.03.2018  12:11    <DIR>          302bc7ed35b74a8c174b8e78363283d5
13.08.2017  23:35    <DIR>          3d771220a80188db46bc23d76ebc2f78
13.08.2017  23:35    <DIR>          47693728e374003d155d04dd0e29b700
13.08.2017  23:35    <DIR>          499b9a32a59787940c1baf98941375e3
05.03.2018  12:04    <DIR>          5590472ab197c15617899d3587f97c4d
13.08.2017  23:35    <DIR>          6565beff1b7a86fd712d52353d7caa16
14.08.2017  21:16    <DIR>          c045feb455331ec9265fd044041293ef
08.02.2018  16:56    <DIR>          c3d43459fe0a382643ae8c3046989bb7
13.08.2017  23:35    <DIR>          cc38c614757069993059973dc1562649
08.02.2018  16:56    <DIR>          cdd7f68501a321758e2de7f9184e8d5a
08.02.2018  16:56    <DIR>          e0d31884d439c8235f8c3db2c7403a01
13.08.2017  23:35    <DIR>          e20d188294715076cf3e13a8e9db118e
03.07.2017  17:38        44 003 024 fa55118639f665d58899d11e8c1c1619e39baf4a
14.08.2017  21:17    <DIR>          fec8a9f32abe7c9d52f02746f71d4049

Работа происходит с каталогом оканчивающимся на d5. Вот как он выглядит внутри:

 Содержимое папки C:\Windows\SoftwareDistribution\Download\302bc7ed35b74a8c174b8e78363283d5

08.07.2017  10:23               713 amd64_000a8ac39718427ec71dd3cdb653c199_31bf3856ad364e35_10.0.10586.494_none_07db0a652e170af5.manifest
08.07.2017  10:23               713 amd64_00140955cb80bb096761a7fe4d169af9_31bf3856ad364e35_10.0.10586.494_none_447f480a163e48c8.manifest
08.07.2017  10:23             1 093 amd64_00217a36551ceaacf91244a0832a0e01_31bf3856ad364e35_10.0.10586.672_none_9500ad5b5068fe90.manifest
08.07.2017  10:23               727 amd64_002761748e37c990b21fdcf5562d24d2_31bf3856ad364e35_10.0.10586.17_none_92dba9f37ee58fc9.manifest
08.07.2017  10:23               720 amd64_0028149ecc4ad8d5801e828c282aae9a_31bf3856ad364e35_10.0.10586.672_none_c576628322df9e30.manifest
08.07.2017  10:23               666 amd64_00288240f4b53dfd260596edde9a235b_b03f5f7f11d50a3a_4.0.10586.916_none_54e6d8f979ca8b2d.manifest
08.07.2017  10:23             1 046 amd64_002da15fc0983356613a772302653f6d_31bf3856ad364e35_11.0.10586.1007_none_f3e0173fe870f893.manifest

И порядка 5 тысяч подобных файлов и каталогов с цифро-буквенными именами.

Не думаю, что таким образом происходит обновление....

Оставлял ноутбук на несколько часов, диск все так же загружен.

Скриншот Processexplorer'a и полный список каталога в котором работает svchost прилагаю.

screen.zip

Опубликовано

Java у вас установлена старая (дрявая), удалите её. Если нужна для работы, то потом скачайте и поставьте старую.

 

 


Если приостановить указанный svchost.exe, вместе с ним останавливаются 3 процесса:
с такой паронойей ставить windows 10 противопоказано.

Да и по системному журналу ошибок у вас действительно есть события связанные с Cortana, только к вирусам это никакого отношения не имеет. Если хотите можете создать тему в соседнем разделе: Компьютерная помощь

  • Согласен 1
Опубликовано

Конечно, это не мой ноут. У меня ХР :))

 

Про Java и тему я понял.

Спасибо!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Наталия Болясова
      Автор Наталия Болясова
      На компьютере зашифрованы все файлы. Около 50 Гб. Видео,фото,аудио. "Порядок оформления запроса о помощи" соблюден.
       
      Помогите,пожалуйста,спасти файлы!
    • виктория виктория
      Автор виктория виктория
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      1514D705323F4A305004|0
      на электронный адрес files100001@gmail.com или files100002@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      1514D705323F4A305004|0
      to e-mail address files100001@gmail.com or files100002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.                                                                                                                                                                                                                   ЧТО ДЕЛАТЬ?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы
    • charlys
      Автор charlys
      Господа!
       
      Прошу помощи. Ребенок притащил какую-то гадость на компьютер. Как результат, все документы у меня теперь зашифрованы и имеют расширение .xtbl Примерный вид имени файла таков:
      5GhjfZ03Kj+fV0aaKRDQ98RjwY-BBbwP5oWbjmK42LA=.xtbl
       
      Есть ли возможность восстановить данные?
      "Порядок оформления запроса о помощи" соблюден. Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt! подчистили всякие бяки. Файл протоколов логов прикладываю.
      Очень надеюсь на ваши знания и, возможную, помощь. Заранее благодарю!
      CollectionLog-2015.08.22-17.15.zip
    • Banz26
      Автор Banz26
      Зашифрованные файлы (фото,видео)
      CollectionLog-2015.10.05-13.43.zip
    • Edger
      Автор Edger
      фАЙЛЫ приняли расширение xtbl Жаль детских фото 
      CollectionLog-2015.09.08-16.19.zip
      report1.log
      report2.log
×
×
  • Создать...