SChool8 0 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 (изменено) Приветствую. Аналогично рабочий компьютер попал под атаку вчера. сегодня провел проверку CureIT, собрал логи автологером (приложено). Буду рад помощи. CollectionLog-2018.06.20-11.12.zip Изменено 20 июня, 2018 пользователем SChool8 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
SChool8 0 Опубликовано 20 июня, 2018 Автор Share Опубликовано 20 июня, 2018 сделано. FRSTscan.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 C:\Users\Директор\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe вряд ли сами записывали на компьютер, а тем более в автозапуск? 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKU\S-1-5-21-988267811-151300116-1235184391-1000\...\Run: [7-ZipPortable] => C:\Users\Директор\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com) HKU\S-1-5-21-988267811-151300116-1235184391-1000\...\Run: [OYTfqa] => C:\Users\Директор\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT [2444 2018-06-19] () 2018-06-19 12:49 - 2018-06-19 14:43 - 000002444 _____ C:\Users\Директор\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT 2018-06-19 12:49 - 2018-06-19 14:43 - 000002444 _____ C:\Users\Директор\Documents\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
SChool8 0 Опубликовано 20 июня, 2018 Автор Share Опубликовано 20 июня, 2018 C:\Users\Директор\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe вряд ли сами записывали на компьютер, а тем более в автозапуск? не я, конечно, сегодня увидел, грохал диспетчером при включении постоянно. у svchost, который за обновления отвечает, активный жор памяти идет. не знаю, совпадение ли, что сейчас проснулся. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 не я, конечно, сегодня увидел, грохал диспетчером при включении постоянно. заархивируйте с паролем virus, выложите на sendspace.com и пришлите ссылку мне в ЛС==================== Детект на cryptbase.dll https://www.virustot...aa199/detection Вот оно удаленное администрирование, с помощью которого заразу и подсадили. Удаляйте всю папку. С расшифровкой помочь не сможем. Попробуйте восстановить информацию из теневых копий, если таковые имеются. Ссылка на сообщение Поделиться на другие сайты
SChool8 0 Опубликовано 20 июня, 2018 Автор Share Опубликовано 20 июня, 2018 большое спасибо. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти