Monmak25 0 Опубликовано 31 мая, 2018 Share Опубликовано 31 мая, 2018 Всем доброго времени суток!Являюсь приходящим админом в одной организации. От них неожиданно поступил звонок со словами "Всё пропало" (в обоих смыслах). Запустил FRST и KVRT - результаты сканирования и проверки собрал в архив. KVRT обнаружил в папке "C;\11" два вируса в двух файлах: HEUR:Trojan-Ransom.Win32.Generic - в уже зашифрованном файле "zeman@tutanota.de_..." HEUR:Trojan.Win32.Generic - в файле "systemA.exe" Файл "DontSleep.exe" также присутствовал в папке, но KVRT не нашел в нем вируса. AutoLogger не создает log-файлы из-за подключения через RDP. Возможно ли подобрать ключ без этих лог-файлов? Также добавил в архив зашифрованный и тот же незашифрованный файл и How decrypt files.hta. Прошу помощи с расшифровкой. 406.rar Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 31 мая, 2018 Share Опубликовано 31 мая, 2018 AutoLogger не создает log-файлы из-за подключения через RDP. причину знаете, так что собирайте логи как положено. Цитата Ссылка на сообщение Поделиться на другие сайты
Monmak25 0 Опубликовано 1 июня, 2018 Автор Share Опубликовано 1 июня, 2018 Провел сканирование AutoLogger'ом. Логи в приложенном архиве. Подскажите, какие ещё файлы нужны. Заранее спасибо. 406 AutoLogger.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 1 июня, 2018 Share Опубликовано 1 июня, 2018 Отчеты перепаковывать не нужно, если нет для этого указания. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteRepair(9); RebootWindows(false); end. Компьютер перезагрузится. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Monmak25 0 Опубликовано 2 июня, 2018 Автор Share Опубликовано 2 июня, 2018 Еще раз здравствуйте. Антивирус отключил, скрипт выполнил, сканирование провел. Что дальше? Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 июня, 2018 Share Опубликовано 2 июня, 2018 1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION Startup: C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW DECRIPT FILES.hta [2018-05-29] () FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File] 2018-05-29 06:21 - 2018-05-29 06:21 - 000009046 _____ C:\Windows\SysWOW64\HOW DECRIPT FILES.hta 2018-05-29 06:21 - 2018-05-29 06:21 - 000009046 _____ C:\Windows\SysWOW64\Drivers\HOW DECRIPT FILES.hta 2018-05-29 06:18 - 2018-05-29 06:18 - 000009046 _____ C:\Windows\HOW DECRIPT FILES.hta 2018-05-29 06:18 - 2018-05-29 06:18 - 000009046 _____ C:\Users\Надежда\Documents\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Надежда\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Надежда\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Надежда\AppData\Roaming\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Надежда\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Надежда\AppData\Local\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Надежда\AppData\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Лариса Николаевна\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Лариса Николаевна\Documents\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Лариса Николаевна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Лариса Николаевна\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Лариса Николаевна\AppData\Roaming\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Лариса Николаевна\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Лариса Николаевна\AppData\Local\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Лариса Николаевна\AppData\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Гость\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Гость\Documents\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Гость\AppData\Roaming\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Гость\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Гость\AppData\Local\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Гость\AppData\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Администратор\Documents\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Администратор\AppData\Roaming\HOW DECRIPT FILES.hta 2018-05-29 06:17 - 2018-05-29 06:17 - 000009046 _____ C:\Users\Администратор\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Администратор\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Администратор\AppData\Local\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Администратор\AppData\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Public\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Public\Documents\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default\Documents\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default\AppData\Roaming\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default\AppData\Local\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default\AppData\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default User\Documents\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default User\AppData\Roaming\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default User\AppData\Local\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Default User\AppData\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Console\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Console\Documents\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Console\Desktop\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Console\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Console\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Console\AppData\Roaming\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Console\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Console\AppData\Local\HOW DECRIPT FILES.hta 2018-05-29 06:16 - 2018-05-29 06:16 - 000009046 _____ C:\Users\Console\AppData\HOW DECRIPT FILES.hta 2018-05-29 06:15 - 2018-05-29 06:15 - 000009046 _____ C:\Users\Admin\Documents\HOW DECRIPT FILES.hta 2018-05-29 06:15 - 2018-05-29 06:15 - 000009046 _____ C:\Users\Admin\Desktop\HOW DECRIPT FILES.hta 2018-05-29 06:15 - 2018-05-29 06:15 - 000009046 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta 2018-05-29 06:15 - 2018-05-29 06:15 - 000009046 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta 2018-05-29 06:15 - 2018-05-29 06:15 - 000009046 _____ C:\Users\Admin\AppData\Roaming\HOW DECRIPT FILES.hta 2018-05-29 06:15 - 2018-05-29 06:15 - 000009046 _____ C:\Users\Admin\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-05-29 06:10 - 2018-05-29 06:10 - 000009046 _____ C:\Users\Все пользователи\HOW DECRIPT FILES.hta 2018-05-29 06:10 - 2018-05-29 06:10 - 000009046 _____ C:\Users\HOW DECRIPT FILES.hta 2018-05-29 06:10 - 2018-05-29 06:10 - 000009046 _____ C:\Users\Admin\HOW DECRIPT FILES.hta 2018-05-29 06:10 - 2018-05-29 06:10 - 000009046 _____ C:\Users\Admin\AppData\Local\HOW DECRIPT FILES.hta 2018-05-29 06:10 - 2018-05-29 06:10 - 000009046 _____ C:\Users\Admin\AppData\HOW DECRIPT FILES.hta 2018-05-29 06:10 - 2018-05-29 06:10 - 000009046 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta 2018-05-29 06:10 - 2018-05-29 06:10 - 000009046 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta 2018-05-29 06:10 - 2018-05-29 06:10 - 000009046 _____ C:\ProgramData\HOW DECRIPT FILES.hta 2018-05-29 06:07 - 2018-05-29 06:07 - 000009046 _____ C:\Program Files\Common Files\HOW DECRIPT FILES.hta 2018-05-29 06:07 - 2018-05-29 06:07 - 000009046 _____ C:\Program Files (x86)\HOW DECRIPT FILES.hta 2018-05-29 06:06 - 2018-05-29 06:06 - 000009046 _____ C:\Users\Надежда\Desktop\HOW DECRIPT FILES.hta 2018-05-29 06:06 - 2018-05-29 06:06 - 000009046 _____ C:\Program Files\HOW DECRIPT FILES.hta 2018-05-29 06:06 - 2018-05-29 06:06 - 000009046 _____ C:\HOW DECRIPT FILES.hta 2018-05-29 06:06 - 2018-05-29 06:06 - 000009046 _____ () C:\Program Files\HOW DECRIPT FILES.hta 2018-05-29 06:07 - 2018-05-29 06:07 - 000009046 _____ () C:\Program Files (x86)\HOW DECRIPT FILES.hta 2018-05-29 06:07 - 2018-05-29 06:07 - 000009046 _____ () C:\Program Files\Common Files\HOW DECRIPT FILES.hta 2018-05-29 06:07 - 2018-05-29 06:07 - 000009046 _____ () C:\Program Files (x86)\Common Files\HOW DECRIPT FILES.hta 2018-05-29 06:15 - 2018-05-29 06:15 - 000009046 _____ () C:\Users\Admin\AppData\Roaming\HOW DECRIPT FILES.hta 2018-05-29 06:15 - 2018-05-29 06:15 - 000009046 _____ () C:\Users\Admin\AppData\Roaming\Microsoft\HOW DECRIPT FILES.hta 2018-05-29 06:10 - 2018-05-29 06:10 - 000009046 _____ () C:\Users\Admin\AppData\Local\HOW DECRIPT FILES.hta EmptyTemp: Reboot: End::и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Компьютер будет перезагружен автоматически. 3) У вас там два разных шифратора отработали. Со вторым никак помочь не сможем. Цитата Ссылка на сообщение Поделиться на другие сайты
Monmak25 0 Опубликовано 2 июня, 2018 Автор Share Опубликовано 2 июня, 2018 Скрипт №8 выполнил, архив загрузил.Ссылка. Fixlog прикрепил. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 июня, 2018 Share Опубликовано 2 июня, 2018 ожидайте. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 5 июня, 2018 Share Опубликовано 5 июня, 2018 проверьте ЛС. Цитата Ссылка на сообщение Поделиться на другие сайты
Monmak25 0 Опубликовано 5 июня, 2018 Автор Share Опубликовано 5 июня, 2018 Ещё раз здравствуйте. Ваш расшифровшик не захотел работать на данном компьютере. Скриншот прикреплен. Какие есть варианты? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 5 июня, 2018 Share Опубликовано 5 июня, 2018 Не захотел работать на Windows 7? Весьма странно. Запускали по правой кнопке мыши от имени Администратора? Цитата Ссылка на сообщение Поделиться на другие сайты
Monmak25 0 Опубликовано 5 июня, 2018 Автор Share Опубликовано 5 июня, 2018 Да, именно так. И от "Администатора", и от текущего пользователя - результат тот же. Снимать HDD и лечить на другом компьютере или есть более гуманные методы? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 5 июня, 2018 Share Опубликовано 5 июня, 2018 И окно с ошибкой просто пустое? Цитата Ссылка на сообщение Поделиться на другие сайты
Monmak25 0 Опубликовано 5 июня, 2018 Автор Share Опубликовано 5 июня, 2018 Да, пустое. При запуске на долю секунды мелькают границы окна программы, но потом опять ошибка. Перезагрузка не помогла. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 5 июня, 2018 Share Опубликовано 5 июня, 2018 Какая версия .NET Framework установлена? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.