DarkExspiravit 0 Опубликовано 26 мая, 2018 Share Опубликовано 26 мая, 2018 Здравствуйте!Ко мне обратились с просьбой переустановить Windows и очистить вирусы.Просмотрев файлы на этом ПК я заметил что они зашифрованы шифровальщиком. Расспросив более подробно я выяснил что на ПК изначально был установлен Zilla! Antivirus при работе которого случилось заражение. Как именно случилось заражение владелец ПК (девочка-второкурсница) не говорит. Но до меня вирусы пытались вылечить студенты-умельцы. Время шифрования файлов попадает на период от 23:00 23.05.2018 до 01:00 24.05.2018. Не знаю были ли зашифрованы файлы ещё до студентов или это дело кривых рук этих самых студентов. Они прогнали проверку SpyHunter 4 и CheckMAL AppCheck после чего сказали что вирусов очень много и нужно переустановить Windows.Я выяснил что шифровальщик называется sigrun ransomware. К сожалению после студентов не осталось записки с выкупом но может ещё посмотрев логи AutoLogger кто-то сможет мне помочь. Также додаю пример зараженного файла CollectionLog-2018.05.26-08.54.zip файлы.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 26 мая, 2018 Share Опубликовано 26 мая, 2018 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Users\Admin\AppData\Roaming\svchostx64.exe',''); QuarantineFile('C:\Users\Admin\gaszilanfofg.exe',''); QuarantineFile('C:\Users\Admin\AppData\Local\VZEUJV~1\WINUPD~1.EXE',''); QuarantineFile('C:\Users\Admin\M-5050506265024805240640200\winsvc.exe',''); QuarantineFile('C:\Users\Admin\M-0857948697957959\winsvcroug.exe',''); QuarantineFile('C:\Users\Admin\M-505958576840600505580505058\winsvccrn.exe',''); QuarantineFile('C:\Users\Admin\M-84864857959479508850505749\winsvcr.exe',''); QuarantineFile('C:\Users\Admin\M-5050050640745700375076006680\winmgr.exe',''); TerminateProcessByName('c:\users\admin\appdata\local\vzeujvqezt\winupdsvc.exe'); QuarantineFile('c:\users\admin\appdata\local\vzeujvqezt\winupdsvc.exe',''); DeleteFile('c:\users\admin\appdata\local\vzeujvqezt\winupdsvc.exe','32'); DeleteFile('C:\Users\Admin\M-5050050640745700375076006680\winmgr.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Manager'); DeleteFile('C:\Users\Admin\M-84864857959479508850505749\winsvcr.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Srvcs'); DeleteFile('C:\Users\Admin\M-505958576840600505580505058\winsvccrn.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows SVCSc'); DeleteFile('C:\Users\Admin\M-0857948697957959\winsvcroug.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Srvcks'); DeleteFile('C:\Users\Admin\M-5050506265024805240640200\winsvc.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Service'); DeleteFile('C:\Users\Admin\AppData\Local\VZEUJV~1\WINUPD~1.EXE','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dGpDguAlnf'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gaszilanfofg'); DeleteFile('C:\Users\Admin\gaszilanfofg.exe','32'); DeleteFile('C:\Users\Admin\AppData\Roaming\svchostx64.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Adasdsadas3id','64'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su. 1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера). O4 - HKCU\..\Run: [Microsoft Windows Manager] = C:\Users\Admin\M-5050050640745700375076006680\winmgr.exe O4 - HKCU\..\Run: [Microsoft Windows SVCSc] = C:\Users\Admin\M-505958576840600505580505058\winsvccrn.exe (file missing) O4 - HKCU\..\Run: [Microsoft Windows Service] = C:\Users\Admin\M-5050506265024805240640200\winsvc.exe O4 - HKCU\..\Run: [Microsoft Windows Srvcks] = C:\Users\Admin\M-0857948697957959\winsvcroug.exe (file missing) O4 - HKCU\..\Run: [Microsoft Windows Srvcs] = C:\Users\Admin\M-84864857959479508850505749\winsvcr.exe (file missing) O4 - HKCU\..\Run: [Regedit32] = C:\Windows\system32\regedit.exe (file missing) O4 - HKCU\..\Run: [dGpDguAlnf] = C:\Users\Admin\AppData\Local\VzEujvQEZT\winupdsvc.exe O4 - HKCU\..\Run: [gaszilanfofg] = C:\Users\Admin\gaszilanfofg.exe O22 - Task (Job): (Not scheduled) ParetoLogic Registration3.job - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll" RunUns Деинсталлируйте McAfee Security Scan Plus, SpyHunter 4. Сделайте новые логи Автологгером. Цитата Ссылка на сообщение Поделиться на другие сайты
DarkExspiravit 0 Опубликовано 26 мая, 2018 Автор Share Опубликовано 26 мая, 2018 Карантин отправил на указанную почту. Деинсталировал антивирусы, пофиксил все и сделал новый лог. CollectionLog-2018.05.26-13.16.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 26 мая, 2018 Share Опубликовано 26 мая, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
DarkExspiravit 0 Опубликовано 26 мая, 2018 Автор Share Опубликовано 26 мая, 2018 Сделал! Спасибо что помогаете! Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 26 мая, 2018 Share Опубликовано 26 мая, 2018 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: 2018-05-26 12:24 - 2018-05-26 12:53 - 000000000 _RSHD C:\Users\Admin\T-5060548008706965508605070 2018-05-25 19:31 - 2018-05-25 19:42 - 000000000 ___HD C:\GiQ3nF4NQGobQ59f virustotal: C:\Users\Admin\AppData\Roaming\3224818104.exe 2018-05-24 09:16 - 2018-05-24 09:16 - 000146944 _____ C:\Users\Admin\AppData\Roaming\3224818104.exe 2018-05-23 22:56 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-5050050640745700375076006680 virustotal: C:\Users\Admin\AppData\Roaming\2282214373.exe C:\Users\Admin\AppData\Roaming\2282214373.exe 2018-05-22 13:39 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050045602465802804640 2018-05-15 14:15 - 2018-05-26 13:02 - 000000000 _RSHD C:\Users\Admin\M-5050506265024805240640200 2018-05-14 16:56 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505050068756458660840 2018-05-09 15:01 - 2018-05-09 15:01 - 000028160 _____ C:\Users\Admin\AppData\Roaming\3489015373.exe 2018-05-09 13:39 - 2018-05-09 13:39 - 000028160 _____ C:\Users\Admin\AppData\Roaming\2175834963.exe 2018-05-09 12:59 - 2018-05-09 12:59 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1121215938.exe 2018-05-09 12:06 - 2018-05-09 12:06 - 000028160 _____ C:\Users\Admin\AppData\Roaming\2516913143.exe 2018-05-09 12:06 - 2018-05-09 12:06 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1581722586.exe 2018-05-09 01:00 - 2018-05-09 01:00 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1241725572.exe 2018-05-08 23:59 - 2018-05-08 23:59 - 000028160 _____ C:\Users\Admin\AppData\Roaming\4055238615.exe 2018-05-08 22:59 - 2018-05-08 22:59 - 000028160 _____ C:\Users\Admin\AppData\Roaming\3341421231.exe 2018-05-08 14:05 - 2018-05-08 14:05 - 000028160 _____ C:\Users\Admin\AppData\Roaming\2600728630.exe 2018-05-08 13:27 - 2018-05-08 13:27 - 000028160 _____ C:\Users\Admin\AppData\Roaming\3085640080.exe 2018-05-08 13:12 - 2018-05-08 13:12 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1656842178.exe 2018-05-08 11:49 - 2018-05-08 11:49 - 000028160 _____ C:\Users\Admin\AppData\Roaming\1912426641.exe 2018-05-08 11:24 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-500580508606 2018-05-08 11:24 - 2018-05-08 11:24 - 000028160 _____ C:\Users\Admin\AppData\Roaming\2210232401.exe 2018-05-08 11:23 - 2018-05-08 11:23 - 000028160 _____ C:\Users\Admin\AppData\Roaming\4146426833.exe 2018-05-07 16:19 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-55052645082605024 2018-05-07 16:13 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050240562497502478562840 2018-04-26 09:25 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050506208520468520486082450 2018-04-24 14:20 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050265802658046582004020 2018-04-19 17:50 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050805868050685086870 2018-04-16 17:38 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-5050508460580687540 2018-04-13 09:21 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-55082652605820630852 2018-04-13 08:37 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-9758463 2018-04-12 19:42 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050864506066855680508460 2018-04-12 19:39 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050650508506450000866050 2018-04-12 18:41 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-50505286526856202620304602 2018-04-11 19:35 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-50505235240626305020 2018-04-11 19:13 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505049764065650465060505058608 2018-04-11 15:43 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-254525269572524649 2018-04-11 15:41 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050065845655086047056050 2018-04-11 09:48 - 2018-05-26 12:54 - 000000000 ____D C:\Users\Admin\AppData\Local\VzEujvQEZT 2018-04-04 19:33 - 2018-05-25 20:05 - 000000000 _RSHD C:\Users\Admin\M-870695784634579669 2018-04-04 19:17 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-86957864357864579 2018-04-04 18:38 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-0869574863572348975868657 2018-04-04 18:27 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-858680705668704605687605059689 2018-04-04 18:08 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-089574863752368457679 2018-04-04 17:50 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-2466246245452 2018-04-04 17:33 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-85634736569898568580500 2018-04-04 17:18 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-68957486357234548795486384957685 2018-04-04 16:51 - 2018-05-25 20:05 - 000000000 _RSHD C:\Users\Admin\M-974859952596975 2018-04-04 16:42 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-08586085860770 2018-04-04 15:23 - 2018-05-25 20:05 - 000000000 _RSHD C:\Users\Admin\M-9758z7864675 2018-04-04 14:57 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-502658254205082648056208460 2018-04-04 14:20 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-95795979595957959697650 2018-04-04 13:55 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-97659869475979659647959555590 2018-04-03 17:04 - 2018-05-25 20:04 - 000000000 _RSHD C:\Users\Admin\M-0857948697957959 2018-04-03 13:49 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505958576840600505580505058 2018-04-03 13:19 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-0585060850508068008504005500959 2018-04-03 12:25 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-50508667586006508504660560860 2018-04-03 11:02 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-84864857959479508850505749 2018-04-03 10:54 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-08564675859547365386475959479 2018-04-03 10:25 - 2018-05-25 20:05 - 000000000 _RSHD C:\Users\Admin\M-zt97r86e5733486579 2018-04-03 09:26 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050520865802655632060635025 2018-04-03 09:25 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050576074506040757804060 2018-04-02 18:56 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505008680506006060648068050 2018-04-02 18:05 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050586080625875096858607505086080 2018-04-02 14:35 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505058554085705845670606 2018-04-01 18:59 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-50505068060740568780405670660 2018-04-01 18:58 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050506806850880580607670660 2018-04-01 18:55 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-505059862068046502485626052650620 2018-03-29 22:36 - 2018-05-26 08:25 - 000000000 _RSHD C:\Users\Admin\M-50505203560265802375082062037520 2018-03-29 22:36 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5068050786058006780050600 2018-03-29 22:35 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5856756459898586598495 2018-03-29 22:34 - 2018-05-25 19:51 - 000000000 _RSHD C:\Users\Admin\M-5050508600507406805068650 2018-05-09 12:59 - 2018-05-09 12:59 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1121215938.exe 2018-05-09 01:00 - 2018-05-09 01:00 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1241725572.exe 2018-05-09 12:06 - 2018-05-09 12:06 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1581722586.exe 2018-05-08 13:12 - 2018-05-08 13:12 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1656842178.exe 2018-05-08 11:49 - 2018-05-08 11:49 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\1912426641.exe 2018-05-09 13:39 - 2018-05-09 13:39 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\2175834963.exe 2018-05-08 11:24 - 2018-05-08 11:24 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\2210232401.exe 2018-05-23 22:56 - 2018-05-23 22:56 - 000146944 _____ () C:\Users\Admin\AppData\Roaming\2282214373.exe 2018-05-09 12:06 - 2018-05-09 12:06 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\2516913143.exe 2018-05-08 14:05 - 2018-05-08 14:05 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\2600728630.exe 2018-05-08 13:27 - 2018-05-08 13:27 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\3085640080.exe 2018-05-24 09:16 - 2018-05-24 09:16 - 000146944 _____ () C:\Users\Admin\AppData\Roaming\3224818104.exe 2018-05-08 22:59 - 2018-05-08 22:59 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\3341421231.exe 2018-05-09 15:01 - 2018-05-09 15:01 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\3489015373.exe 2018-05-08 23:59 - 2018-05-08 23:59 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\4055238615.exe 2018-05-08 11:23 - 2018-05-08 11:23 - 000028160 _____ () C:\Users\Admin\AppData\Roaming\4146426833.exe 2018-03-29 22:34 - 2018-05-26 12:39 - 000000000 ____H () C:\Users\Admin\AppData\Roaming\winmgr.txt 2018-05-26 12:24 - 2018-05-26 12:24 - 000231936 ____N () C:\Users\Admin\AppData\Local\Temp\100793063427146.exe 2018-05-24 09:16 - 2018-05-24 09:16 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\121531597917999.exe 2018-04-26 13:03 - 2018-04-26 13:03 - 000005632 _____ () C:\Users\Admin\AppData\Local\Temp\140032416615003.exe 2018-04-27 23:01 - 2018-04-27 23:01 - 000000285 _____ () C:\Users\Admin\AppData\Local\Temp\140041238222345.exe 2018-04-02 20:14 - 2018-04-02 20:14 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1419119222.exe 2018-04-11 16:00 - 2018-04-11 16:00 - 000120064 _____ () C:\Users\Admin\AppData\Local\Temp\1466040313.exe 2018-04-02 19:44 - 2018-04-02 19:44 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1584520149.exe 2018-04-11 16:01 - 2018-04-11 16:01 - 000120064 _____ () C:\Users\Admin\AppData\Local\Temp\1615724815.exe 2018-04-11 09:48 - 2018-04-11 09:48 - 000000285 _____ () C:\Users\Admin\AppData\Local\Temp\162443219536505.exe 2018-04-02 20:14 - 2018-04-02 20:14 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1670616805.exe 2018-05-26 10:41 - 2018-05-26 10:41 - 000808960 _____ () C:\Users\Admin\AppData\Local\Temp\170321067241433.exe 2018-04-07 11:30 - 2018-04-07 11:30 - 000004608 _____ () C:\Users\Admin\AppData\Local\Temp\179214224737758.exe 2018-04-11 19:35 - 2018-04-11 19:35 - 000045568 _____ () C:\Users\Admin\AppData\Local\Temp\180281961533341.exe 2018-05-26 08:50 - 2018-05-26 08:50 - 000808960 _____ () C:\Users\Admin\AppData\Local\Temp\182022843829987.exe 2018-04-02 22:23 - 2018-04-02 22:23 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1849736655.exe 2018-03-29 23:24 - 2018-03-29 23:24 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\185633905720409.exe 2018-04-02 23:48 - 2018-04-02 23:48 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\1926821326.exe 2018-05-15 15:27 - 2018-05-15 15:27 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\198562538127864.exe 2018-05-15 16:48 - 2018-05-15 16:48 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\205311408413326.exe 2018-04-04 20:15 - 2018-04-04 20:23 - 000043077 _____ () C:\Users\Admin\AppData\Local\Temp\212693925542698.exe 2018-04-11 20:26 - 2018-04-11 20:26 - 000045568 _____ () C:\Users\Admin\AppData\Local\Temp\219411040716801.exe 2018-04-03 00:24 - 2018-04-03 00:24 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2205234124.exe 2018-04-04 18:00 - 2018-04-04 18:00 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\220613344213189.exe 2018-05-15 14:15 - 2018-05-15 14:15 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\225583176926914.exe 2018-04-04 17:50 - 2018-04-04 17:50 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\226802979932595.exe 2018-03-29 23:07 - 2018-03-29 23:07 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\227961520013656.exe 2018-04-04 17:55 - 2018-04-04 17:55 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\234973807438297.exe 2018-05-26 12:40 - 2018-05-26 12:40 - 000910848 _____ () C:\Users\Admin\AppData\Local\Temp\241111512722693.exe 2018-04-03 00:45 - 2018-04-03 00:45 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2482724850.exe 2018-05-26 12:24 - 2018-05-26 12:24 - 000910848 _____ () C:\Users\Admin\AppData\Local\Temp\252012779132389.exe 2018-04-03 00:23 - 2018-04-03 00:23 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2556020616.exe 2018-05-15 16:29 - 2018-05-15 16:29 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\267822629612682.exe 2018-05-23 22:56 - 2018-05-23 22:56 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\274362646117580.exe 2018-04-11 15:50 - 2018-04-11 16:00 - 000026005 _____ () C:\Users\Admin\AppData\Local\Temp\2768441048.exe 2018-04-03 00:46 - 2018-04-03 00:46 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2769529136.exe 2018-04-02 19:36 - 2018-04-02 19:37 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2804334256.exe 2018-03-29 23:26 - 2018-03-29 23:26 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\282932251837696.exe 2018-05-24 11:18 - 2018-05-24 11:18 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\284921995414137.exe 2018-04-02 23:34 - 2018-04-02 23:34 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\2934821075.exe 2018-05-07 16:03 - 2018-05-07 16:04 - 000188160 _____ () C:\Users\Admin\AppData\Local\Temp\293543319941914.exe 2018-05-26 12:40 - 2018-05-26 12:40 - 000231936 _____ () C:\Users\Admin\AppData\Local\Temp\299291251322742.exe 2018-05-26 12:24 - 2018-05-26 12:24 - 000231936 _____ () C:\Users\Admin\AppData\Local\Temp\310192517732438.exe 2018-04-16 17:36 - 2018-04-16 17:37 - 000126976 _____ () C:\Users\Admin\AppData\Local\Temp\311563554521082.exe 2018-04-02 20:14 - 2018-04-02 20:14 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3132922858.exe 2018-05-07 16:15 - 2018-05-07 16:15 - 000188160 _____ () C:\Users\Admin\AppData\Local\Temp\313724237638209.exe 2018-04-07 11:30 - 2018-04-07 11:30 - 000004608 _____ () C:\Users\Admin\AppData\Local\Temp\318281399210859.exe 2018-04-04 18:01 - 2018-04-04 18:01 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\320233020539992.exe 2018-04-11 20:07 - 2018-04-11 20:07 - 000045568 _____ () C:\Users\Admin\AppData\Local\Temp\326113422016981.exe 2018-05-08 11:28 - 2018-05-08 11:28 - 000028160 _____ () C:\Users\Admin\AppData\Local\Temp\326691292631098.exe 2018-04-11 19:39 - 2018-04-11 19:39 - 000045568 _____ () C:\Users\Admin\AppData\Local\Temp\332892918137472.exe 2018-04-02 19:43 - 2018-04-02 19:43 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3364029895.exe 2018-04-16 17:36 - 2018-04-16 17:37 - 000126976 _____ () C:\Users\Admin\AppData\Local\Temp\337083845221232.exe 2018-05-23 22:57 - 2018-05-23 22:57 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\339752913037686.exe 2018-05-15 14:15 - 2018-05-15 14:15 - 000083456 _____ () C:\Users\Admin\AppData\Local\Temp\340943687126000.exe 2018-04-02 23:47 - 2018-04-02 23:47 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3454225782.exe 2018-04-02 20:14 - 2018-04-02 20:14 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3460612171.exe 2018-04-11 16:01 - 2018-04-11 16:01 - 000120064 _____ () C:\Users\Admin\AppData\Local\Temp\3485210185.exe 2018-05-26 12:24 - 2018-05-26 12:24 - 000231936 ____N () C:\Users\Admin\AppData\Local\Temp\351371196920910.exe 2018-04-02 22:23 - 2018-04-02 22:23 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3543310093.exe 2018-04-11 09:48 - 2018-04-11 09:48 - 000000285 _____ () C:\Users\Admin\AppData\Local\Temp\356172082218401.exe 2018-04-02 20:15 - 2018-04-02 20:15 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3604420809.exe 2018-04-13 08:36 - 2018-04-13 08:36 - 000096256 _____ () C:\Users\Admin\AppData\Local\Temp\365203369012406.exe 2018-03-29 22:36 - 2018-03-29 22:36 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\370921636121870.exe 2018-04-02 20:15 - 2018-04-02 20:15 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3784920842.exe 2018-05-24 12:03 - 2018-05-24 12:03 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\379493645328878.exe 2018-04-02 19:35 - 2018-04-02 19:37 - 000039162 _____ () C:\Users\Admin\AppData\Local\Temp\381393469016119.exe 2018-05-08 11:28 - 2018-05-08 11:28 - 000011311 _____ () C:\Users\Admin\AppData\Local\Temp\384871031231147.exe 2018-04-02 19:38 - 2018-04-02 19:38 - 000023102 _____ () C:\Users\Admin\AppData\Local\Temp\3860935788.exe 2018-04-11 15:49 - 2018-04-11 16:00 - 000014325 _____ () C:\Users\Admin\AppData\Local\Temp\4012714187.exe 2018-05-08 11:28 - 2018-05-08 11:28 - 000188160 _____ () C:\Users\Admin\AppData\Local\Temp\405272415532525.exe 2018-04-24 14:20 - 2018-04-24 14:20 - 000024545 _____ () C:\Users\Admin\AppData\Local\Temp\411251819939245.exe 2018-04-12 19:36 - 2018-04-12 19:36 - 000017245 _____ () C:\Users\Admin\AppData\Local\Temp\412003325432267.exe 2018-04-04 18:01 - 2018-04-04 18:01 - 000037376 _____ () C:\Users\Admin\AppData\Local\Temp\414121425041928.exe 2018-05-15 14:28 - 2018-05-15 14:28 - 000046080 _____ () C:\Users\Admin\AppData\Local\Temp\418171747937627.exe 2018-05-23 22:56 - 2018-05-23 22:56 - 000146944 _____ () C:\Users\Admin\AppData\Local\Temp\420334273017685.exe 2018-03-29 22:37 - 2018-03-29 22:37 - 000043520 _____ () C:\Users\Admin\AppData\Local\Temp\423374045838522.exe Task: {566C31AF-AB88-4219-BAA1-E31E399DD645} - \Adasdsadas3id -> No File <==== ATTENTION zip:C:\FRST\Quarantine Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите на http://rgho.st/ и пришлите ссылку в личные сообщения. Цитата Ссылка на сообщение Поделиться на другие сайты
DarkExspiravit 0 Опубликовано 26 мая, 2018 Автор Share Опубликовано 26 мая, 2018 Прикрепил лог FRST, карантин отправил в ЛС Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 27 мая, 2018 Share Опубликовано 27 мая, 2018 На форуме с расшифровкой не поможем. Девушке скажите, чтобы сменила все пароли. Ответ по карантину: Следующие файлы являются вредоносными (дубликаты были предварительно удалены) и уже детектируются: 100793063427146.exe.xBAD Trojan.Win32.Chapak.yug 121531597917999.exe.xBAD Trojan.Win32.IRCbot.bhnc 1466040313.exe.xBAD Trojan.Win32.Cutwail.wzg 179214224737758.exe.xBAD HEUR:Trojan.Win32.Generi180281961533341.exe.xBAD Trojan.Win32.Zonidel.daa 185633905720409.exe.xBAD Trojan.Win32.Zonidel.cxr 198562538127864.exe.xBAD HEUR:Trojan.Win32.Generic 220613344213189.exe.xBAD Trojan.Win32.Zonidel.cyy 241111512722693.exe.xBAD Trojan.Win32.Chapak.vgi 293543319941914.exe.xBAD Trojan.Win32.Cutwail.wzm 311563554521082.exe.xBAD Trojan.Win32.IRCbot.bhik 326691292631098.exe.xBAD Trojan.Win32.IRCbot.bhlw 340943687126000.exe.xBAD Trojan-PSW.Win32.Tepfer.gen 365203369012406.exe.xBAD Trojan.Win32.IRCbot.bhhy Цитата Ссылка на сообщение Поделиться на другие сайты
DarkExspiravit 0 Опубликовано 27 мая, 2018 Автор Share Опубликовано 27 мая, 2018 Спасибо! Ещё вопрос: Есть возможность что позже через некоторое время возможно будет расшифровать если оставить зашифрованные файлы а ОС переустановить ? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 27 мая, 2018 Share Опубликовано 27 мая, 2018 Если и появится, то не на форуме. ОС я бы не переустанавливал, либо сделал снимок текущего состояния ОС, например Акронисом. Цитата Ссылка на сообщение Поделиться на другие сайты
DarkExspiravit 0 Опубликовано 27 мая, 2018 Автор Share Опубликовано 27 мая, 2018 Сохранил образ Acronis. Также удалось восстановить часть фото с помощью GetDataBack. Ещё восстановил письмо вымогателей. Прикрепил его к теме, может пригодится. RESTORE-SIGRUN.html RESTORE-SIGRUN.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2018 Share Опубликовано 31 мая, 2018 Строгое предупреждение от модератора thyrex Тема почищена Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.