Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

попал под bomber

SChool8
 Поделиться

Рекомендуемые сообщения

SChool8

SChool8

Опубликовано
Опубликовано (изменено)

Приветствую. Аналогично рабочий компьютер попал под атаку вчера.

сегодня провел проверку CureIT, собрал логи автологером (приложено).

Буду рад помощи.

CollectionLog-2018.06.20-11.12.zip

Изменено пользователем SChool8
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

C:\Users\Директор\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe вряд ли сами записывали на компьютер, а тем более в автозапуск?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-988267811-151300116-1235184391-1000\...\Run: [7-ZipPortable] => C:\Users\Директор\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
HKU\S-1-5-21-988267811-151300116-1235184391-1000\...\Run: [OYTfqa] => C:\Users\Директор\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT [2444 2018-06-19] ()
2018-06-19 12:49 - 2018-06-19 14:43 - 000002444 _____ C:\Users\Директор\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 12:49 - 2018-06-19 14:43 - 000002444 _____ C:\Users\Директор\Documents\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
SChool8

SChool8

Опубликовано
  • Автор
Опубликовано

C:\Users\Директор\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe вряд ли сами записывали на компьютер, а тем более в автозапуск?

 

 

не я, конечно, сегодня увидел, грохал диспетчером при включении постоянно.

у svchost, который за обновления отвечает, активный жор памяти идет. не знаю, совпадение ли, что сейчас проснулся.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

 

 


не я, конечно, сегодня увидел, грохал диспетчером при включении постоянно.
заархивируйте с паролем virus, выложите на sendspace.com и пришлите ссылку мне в ЛС

====================

Детект на cryptbase.dll  https://www.virustot...aa199/detection

Вот оно удаленное администрирование, с помощью которого заразу и подсадили.

 

Удаляйте всю папку.

 

С расшифровкой помочь не сможем. 

Попробуйте восстановить информацию из теневых копий, если таковые имеются.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • NotDev
      [РЕШЕНО] Trojan.Win32.Shellcode.btx попался на майнер
      Автор NotDev
      Доброго времени суток. Помогите пожалуйста. Собственно, скачал с яндекса Notepad++, сайт индексировался выше, чем оригинальный сайт, не заметил этого. Просканировал с помощью ESET и KVRT. Вылечил файлы, отправил с помощью AVZ по данной форме файл Форма отправки карантина, а потом наткнулся на данную тему.
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста - Помощь в удалении вирусов - Kaspersky Club | Клуб «Лаборатории Касперского»

      файлы точно такие же, директории тоже и происходит точно такая же ситуация.
      Сам "установочный файл" отправил на any.run, результат можете посмотреть тут
      https://app.any.run/tasks/6cc9f3a2-26a3-4175-a5e9-157595baa225

      1) AutoLogger - логи с него.
      2) Farbar Recovery Scan Tool - так же лог с него.

      Шаг с AVZ был пропущен, так как я уже выполнил скрипт и отправил на форму.
      CollectionLog-2025.07.06-21.02.zip FRST.zip
    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • Зядик Леонид
      Случайно попался майнер и не могу удалить tool.btcmine.2782
      Автор Зядик Леонид
      Во время игры ЦП сильно нагрузился, зайдя в диспечер задач было 100% и упало до манимальных. Скачивал антивирусы по типу Dr.Web после удаления он снова возвращался и нагружал ЦП, даже я нашел папку с ним и решил удалить саму папку, но ничего не изменилось, майнер востановился обратно. Помогите пожалуйста решить проблему
    • keinsdow
      Попался на Фейк-каптчу
      Автор keinsdow
      Хотел конвертировать PNG
      Перешёл на сайт hotpng.com
      Попал на фейк каптчу и инструкцию:
      удалено
      После этого выполнил восстановление через восстановления Windows
      Теперь не могу точно сказать, осталсяCollectionLog-2025.02.01-19.34.zip какой либо вирус или какие либо данные были украдены
    • Даниил342432
      Здравствуйте, у меня при попытки установки удаленного доступа на компьютер попал вирус, предположительно neshta и зашифровал все файлы в формат KASPER.
      Автор Даниил342432
      FRST.txtAddition.txt После подключения к компьютеру по RDP на компьютер попал вирус под названием NESHTA. И зашифровал почти все файлы в тип файла KASPER. Попытались удалить при помощи программы(avg_remover_neshta), но ничего не получилось.
      Дальше воспользовавшись этой ссылкой(https://forum.kasperskyclub.ru/topic/65731-pravila-oformlenija-zaprosa-o-pomoshhi/) решили написать вам.
      Virus.rar
×
×
  • Создать...