Перейти к содержанию

попал под bomber

SChool8
 Share

Рекомендуемые сообщения

SChool8 Новичок

SChool8

Опубликовано
Опубликовано (изменено)

Приветствую. Аналогично рабочий компьютер попал под атаку вчера.

сегодня провел проверку CureIT, собрал логи автологером (приложено).

Буду рад помощи.

CollectionLog-2018.06.20-11.12.zip

Изменено пользователем SChool8
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

C:\Users\Директор\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe вряд ли сами записывали на компьютер, а тем более в автозапуск?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-988267811-151300116-1235184391-1000\...\Run: [7-ZipPortable] => C:\Users\Директор\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
HKU\S-1-5-21-988267811-151300116-1235184391-1000\...\Run: [OYTfqa] => C:\Users\Директор\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT [2444 2018-06-19] ()
2018-06-19 12:49 - 2018-06-19 14:43 - 000002444 _____ C:\Users\Директор\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 12:49 - 2018-06-19 14:43 - 000002444 _____ C:\Users\Директор\Documents\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
SChool8 Новичок

SChool8

Опубликовано
  • Автор
Опубликовано

C:\Users\Директор\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe вряд ли сами записывали на компьютер, а тем более в автозапуск?

 

 

не я, конечно, сегодня увидел, грохал диспетчером при включении постоянно.

у svchost, который за обновления отвечает, активный жор памяти идет. не знаю, совпадение ли, что сейчас проснулся.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


не я, конечно, сегодня увидел, грохал диспетчером при включении постоянно.
заархивируйте с паролем virus, выложите на sendspace.com и пришлите ссылку мне в ЛС

====================

Детект на cryptbase.dll  https://www.virustot...aa199/detection

Вот оно удаленное администрирование, с помощью которого заразу и подсадили.

 

Удаляйте всю папку.

 

С расшифровкой помочь не сможем. 

Попробуйте восстановить информацию из теневых копий, если таковые имеются.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ершик
      Попался шифровальщик при установки программы, какой именно не знаю, увидел только сейчас
      От ершик
      3R9qG8i3Z.README.txt
    • zummer900
      Попали на ELPACO-team
      От zummer900
      Добрый день.
      В ночь и нас накрыли данные ребята. 
      Прекрасно понимаю что расшифровать нельзя. Зашифровали все .exe файлы. То есть система под снос. 
       
      Вопрос как понять откуда пошло ?
      Как вычислить на других машинах ?
       
       
      парк тачек большой. По RDP на ружу смотрела пару машин. Но не с одной из них доступа к серверам 1с не было, но он тоже лег. Внутри локалки в 1с ходят по RDP....думаю в этом и причина. 
      Зашифрованы и сетевые папки по самбе. Файловая помойка на линуксе OMV. На ней поднята самба и расшарены файлы.
       
      Addition.txt Decryption_INFO.txt FRST.txt filevirus.rar
    • iulian
      Попался вирус который удалением винды не стирается
      От iulian
      Мой компьютер: 
      MSI Prestige 14 H b12U (EVO) 
       
      Процессор — Intel i5 12450h , rtx 2050 
      Win 11 Home 
       
      История проблемы: 
      Не знаю вообще, как словил вирус, есть 2 теории: 
      1. Я скачивал iso-файл для установки винды (сборка Win10 облегченная) на другой комп и через торрент скачал iso, а через Rufus создал загрузочную флешку, после установил на тот ПК, начались проблемы: комп начал шуметь сильно иногда, не всегда, и когда открываешь диспетчер задач, со 100% на проц подает на 50%, потом на 20% и до 11–15%. Окей, оставляю теперь диспетчер задач включенным всегда, но когда запускаю тяжелую прогу, например «Audo desk Fusion 365», начинает шуметь сильно, ну я как бы думаю, что это сама прога, но при этом, когда включаю обычную демонстрацию экрана на конференций, тоже самое, начинает кипеть и бухтеть, так как запустить тяжелую прогу. Понимаю, что это не демка так грузит, решил проверить. Переустанавливаю винду, предварительно удалив все файлы, форматируя диск, а также винду скачиваю с другого компа с официального сайта. Запускаю комп, опять то же самое, полез в интернет искать решение проблемы, ничего не нашел, единственно посоветовали скачать на флешку «Касперский» антивирус и так почистить ПК, скачал, не запускается, писать на форму, сказали ждать обновлений. Не знаю, сколько еще ждать, но очень уже надоел этот вирус, и прошу помочь его убрать. 
      2. Это то, что мне изначально его подсунули в ноут, так как на тот ПК, который я установил ту винду, он не имеет таких проблем вообще. 

       
          
    • Даниил342432
      Здравствуйте, у меня при попытки установки удаленного доступа на компьютер попал вирус, предположительно neshta и зашифровал все файлы в формат KASPER.
      От Даниил342432
      FRST.txtAddition.txt После подключения к компьютеру по RDP на компьютер попал вирус под названием NESHTA. И зашифровал почти все файлы в тип файла KASPER. Попытались удалить при помощи программы(avg_remover_neshta), но ничего не получилось.
      Дальше воспользовавшись этой ссылкой(https://forum.kasperskyclub.ru/topic/65731-pravila-oformlenija-zaprosa-o-pomoshhi/) решили написать вам.
      Virus.rar
    • Татьяна_2
      Попался шифровальщик Ryuk64. Есть ли возможность расшифровки ?
      От Татьяна_2
      Утром увидели печальную картину на серваке. Что можно сделать ?
      Пример для дешифровки.rarruyk64_zip.rar
×
×
  • Создать...