SChool8 Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 (изменено) Приветствую. Аналогично рабочий компьютер попал под атаку вчера. сегодня провел проверку CureIT, собрал логи автологером (приложено). Буду рад помощи. CollectionLog-2018.06.20-11.12.zip Изменено 20 июня, 2018 пользователем SChool8
thyrex Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
thyrex Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 C:\Users\Директор\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe вряд ли сами записывали на компьютер, а тем более в автозапуск? 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKU\S-1-5-21-988267811-151300116-1235184391-1000\...\Run: [7-ZipPortable] => C:\Users\Директор\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com) HKU\S-1-5-21-988267811-151300116-1235184391-1000\...\Run: [OYTfqa] => C:\Users\Директор\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT [2444 2018-06-19] () 2018-06-19 12:49 - 2018-06-19 14:43 - 000002444 _____ C:\Users\Директор\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT 2018-06-19 12:49 - 2018-06-19 14:43 - 000002444 _____ C:\Users\Директор\Documents\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.
SChool8 Опубликовано 20 июня, 2018 Автор Опубликовано 20 июня, 2018 C:\Users\Директор\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe вряд ли сами записывали на компьютер, а тем более в автозапуск? не я, конечно, сегодня увидел, грохал диспетчером при включении постоянно. у svchost, который за обновления отвечает, активный жор памяти идет. не знаю, совпадение ли, что сейчас проснулся. Fixlog.txt
thyrex Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 не я, конечно, сегодня увидел, грохал диспетчером при включении постоянно. заархивируйте с паролем virus, выложите на sendspace.com и пришлите ссылку мне в ЛС==================== Детект на cryptbase.dll https://www.virustot...aa199/detection Вот оно удаленное администрирование, с помощью которого заразу и подсадили. Удаляйте всю папку. С расшифровкой помочь не сможем. Попробуйте восстановить информацию из теневых копий, если таковые имеются.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти