Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Защифрованные данные kiaracript@gmail

cooperd
 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Знакома ли Вам следующая служба?

"UI0Detect" => service was unlocked. <==== ATTENTION
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
ShortcutTarget: desktop.lnk ->  (No File)
File: C:\MSОCachе\Miсrosоft\Windоws\DеviceMеtadаtaStоre\еn-US\MicrosoftOficeUpdate.exe
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
C:\Windows\inf\NETLIBRARIESTIP
File: C:\Windows\System32\SUPDSvc2.exe
File: C:\Program Files\Unlocker\UnlockerDriver5.sys
File: C:\Windows\system32\UI0Detect.exe
2018-07-25 16:43 - 2016-02-16 19:42 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free VPN
Folder: C:\Windows\Font
Folder: C:\Windows\pss
Folder: C:\Users\aspnet\System
Folder: C:\ProgramData\Microsoft Services
2018-07-24 18:25 - 2018-06-08 21:05 - 000000000 __SHD C:\Users\Все пользователи\Microsoft Services
2018-07-24 18:25 - 2018-06-08 21:05 - 000000000 __SHD C:\ProgramData\Microsoft Services
Folder: C:\Hav
Zip: C:\Users\User1\AppData\Roaming\mon.exe;C:\Users\User1\AppData\Roaming\del.exe;C:\Users\User1\AppData\Roaming\Download.exe;C:\Users\User1\AppData\Roaming\453684.exe;C:\Users\buh1\AppData\Roaming\1058288.exe;C:\Windows\directx.sys
File: C:\Users\User1\AppData\Roaming\mon.exe
File: C:\Users\User1\AppData\Roaming\del.exe
File: C:\Users\User1\AppData\Roaming\Download.exe
File: C:\Users\User1\AppData\Roaming\453684.exe
File: C:\Users\buh1\AppData\Roaming\1058288.exe
File: C:\Windows\directx.sys
File: C:\Users\buh2\AppData\Local\Temp\lKSLJdM.exe
2018-06-07 09:55 - 2018-06-07 09:55 - 000009216 ____N () C:\Users\buh2\AppData\Local\Temp\lKSLJdM.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Обратите внимание обнаружен каталог сигнализирующий проблемы с файловой системой:

2018-07-25 17:29 - 2018-07-25 17:29 - 000000000 __SHD C:\found.000
  • Согласен 1
SQ

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
C:\Windows\Font\config.json
Zip: C:\Users\aspnet\System\autch.exe;C:\Users\aspnet\System\autorun.lnk;C:\Users\aspnet\System\winlogon.exe;C:\Hav\config.json;C:\Hav\st.exe;C:\Hav\svhosts.exe
C:\Users\aspnet\System\autch.exe
C:\Hav\config.json
C:\Hav\st.exe
C:\Hav\svhosts.exe
C:\Hav
C:\Users\User1\AppData\Roaming\mon.exe
C:\Users\User1\AppData\Roaming\del.exe
C:\Users\User1\AppData\Roaming\Download.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 

служба мне к сожалению не знакома, 

Похоже служба легитимная, так что проигнорируйте мой вопрос.

SQ

SQ

Опубликовано
Опубликовано

Если не начали собирать слог полного сканирования MBAM, то проигнорируйте.

Также пришли результаты карантина:
 

mon.exe - Trojan-Dropper.Win32.Agent.bjvrlj
453684.exe - Virus.Win32.Neshta.d
Download.exe - corrupted
del.exe - corrupted
autorun.lnk -  Trojan.WinLNK.Starter.ce
st.exe -  Trojan-Dropper.Win32.Agent.bjvrlf
winlogon.exe - Trojan-Spy.Win32.Delf.avic

autch.exe - not-a-virus:RiskTool.MSIL.Sidaweb.i
config.json - not-a-virus:RiskTool.HTML.Miner.b
svhosts.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

Похоже остались следы файлового вируса.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
CloseProcesses:
File: C:\Users\User1\AppData\Roaming\453684.exe
File: C:\Users\buh1\AppData\Roaming\1058288.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста проверьте систему утилитой KVRT на наличие файлового вируса в системе.

Также рекомендуется сменить все пароли.

cooperd

cooperd

Опубликовано
  • Автор
Опубликовано (изменено)

farbar отчет 

сейчас проверяю kvrt

Fixlog.txt

Изменено пользователем cooperd
SQ

SQ

Опубликовано
Опубликовано

После проверки выполните следующее (в системе они еще присутствуют):

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
C:\Users\User1\AppData\Roaming\453684.exe
C:\Users\buh1\AppData\Roaming\1058288.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

  • Согласен 1
SQ

SQ

Опубликовано
Опубликовано

сейчас проверяю kvrt

Утилита KVRT нашла все файловые вирусы? Если нет, то скачайте последнюю версию KRD.

 

Выполните следующее в AVZ:

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

cooperd

cooperd

Опубликовано
  • Автор
Опубликовано

нашла 19 вирусов, все удалил. Скрипты выполнил

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Денис1986
      Зашифрованы файлы
      Автор Денис1986
      На рабочем столе появилась надпись "Все важные файлы зашифрованы"
      И все важные файлы реально стали зашифрованы.
      Проверял разными антивирусными программами и утилитами.
      Надпись удалось убрать, но как расшифровать файлы не знаю.
      Прошу помочь в сложившейся ситуации.
       
      CollectionLog-2015.03.15-16.32.zip
    • Tktyf
      Все файлы зашифрованы
      Автор Tktyf
      Помогите! Крик души! У меня на компьютере точно такая же проблема уже два дня! Всё слов-в-слово, что делать не знаю. Очень жалко данные! Я попробовала http://virusinfo.inf...ad.php?t=156188 все сделала на почту прислали ответ, но что делать с этим отчетом???? как понять что он мне говорит?
    • Arhishaban
      Файлы зашифрованы D2B6
      Автор Arhishaban
      Словил - троянская программа Trojan-Downloader.Win32.Genome.pxhy
      Файлы .doc, .pdf, .jpeg зашифрованы (.doc.D2B6 и т.п.)
       
      Проверил Касперским в итоге на карантине троянская программа HEUR:Trojan-Downloader.Win32.Generic
       
      Необработанные файлы - троянская программа Trojan-Downloader.Win32.Genome.pxhy
       
      Возможно исправить, расшифровать файлы?
       
      Спасибо!
    • Анатолий174
      Ребенок искал домашнюю работу, и все файлы зашифрованы
      Автор Анатолий174
      Как теперь восстановить все это не могу понять.
      CollectionLog-2015.03.09-20.06.zip
    • goodaleksander
      Зашифровал меня шифратор)
      Автор goodaleksander
      День добрый. К сожалению поймал шифратора на свой комп. Лицензия KAV стоит. Буду благодарен за помощь) 
       
      С уважением Александр.

      И вопрос такой, фотографии расшифровать есть возможность?
      CollectionLog-2015.03.08-11.23.zip
×
×
  • Создать...