Перейти к содержанию

Защифрованные данные kiaracript@gmail

cooperd
 Share

Рекомендуемые сообщения

SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Знакома ли Вам следующая служба?

"UI0Detect" => service was unlocked. <==== ATTENTION
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
ShortcutTarget: desktop.lnk ->  (No File)
File: C:\MSОCachе\Miсrosоft\Windоws\DеviceMеtadаtaStоre\еn-US\MicrosoftOficeUpdate.exe
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
C:\Windows\inf\NETLIBRARIESTIP
File: C:\Windows\System32\SUPDSvc2.exe
File: C:\Program Files\Unlocker\UnlockerDriver5.sys
File: C:\Windows\system32\UI0Detect.exe
2018-07-25 16:43 - 2016-02-16 19:42 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free VPN
Folder: C:\Windows\Font
Folder: C:\Windows\pss
Folder: C:\Users\aspnet\System
Folder: C:\ProgramData\Microsoft Services
2018-07-24 18:25 - 2018-06-08 21:05 - 000000000 __SHD C:\Users\Все пользователи\Microsoft Services
2018-07-24 18:25 - 2018-06-08 21:05 - 000000000 __SHD C:\ProgramData\Microsoft Services
Folder: C:\Hav
Zip: C:\Users\User1\AppData\Roaming\mon.exe;C:\Users\User1\AppData\Roaming\del.exe;C:\Users\User1\AppData\Roaming\Download.exe;C:\Users\User1\AppData\Roaming\453684.exe;C:\Users\buh1\AppData\Roaming\1058288.exe;C:\Windows\directx.sys
File: C:\Users\User1\AppData\Roaming\mon.exe
File: C:\Users\User1\AppData\Roaming\del.exe
File: C:\Users\User1\AppData\Roaming\Download.exe
File: C:\Users\User1\AppData\Roaming\453684.exe
File: C:\Users\buh1\AppData\Roaming\1058288.exe
File: C:\Windows\directx.sys
File: C:\Users\buh2\AppData\Local\Temp\lKSLJdM.exe
2018-06-07 09:55 - 2018-06-07 09:55 - 000009216 ____N () C:\Users\buh2\AppData\Local\Temp\lKSLJdM.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Обратите внимание обнаружен каталог сигнализирующий проблемы с файловой системой:

2018-07-25 17:29 - 2018-07-25 17:29 - 000000000 __SHD C:\found.000
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
C:\Windows\Font\config.json
Zip: C:\Users\aspnet\System\autch.exe;C:\Users\aspnet\System\autorun.lnk;C:\Users\aspnet\System\winlogon.exe;C:\Hav\config.json;C:\Hav\st.exe;C:\Hav\svhosts.exe
C:\Users\aspnet\System\autch.exe
C:\Hav\config.json
C:\Hav\st.exe
C:\Hav\svhosts.exe
C:\Hav
C:\Users\User1\AppData\Roaming\mon.exe
C:\Users\User1\AppData\Roaming\del.exe
C:\Users\User1\AppData\Roaming\Download.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 

служба мне к сожалению не знакома, 

Похоже служба легитимная, так что проигнорируйте мой вопрос.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Если не начали собирать слог полного сканирования MBAM, то проигнорируйте.

Также пришли результаты карантина:
 

mon.exe - Trojan-Dropper.Win32.Agent.bjvrlj
453684.exe - Virus.Win32.Neshta.d
Download.exe - corrupted
del.exe - corrupted
autorun.lnk -  Trojan.WinLNK.Starter.ce
st.exe -  Trojan-Dropper.Win32.Agent.bjvrlf
winlogon.exe - Trojan-Spy.Win32.Delf.avic

autch.exe - not-a-virus:RiskTool.MSIL.Sidaweb.i
config.json - not-a-virus:RiskTool.HTML.Miner.b
svhosts.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

Похоже остались следы файлового вируса.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
CloseProcesses:
File: C:\Users\User1\AppData\Roaming\453684.exe
File: C:\Users\buh1\AppData\Roaming\1058288.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста проверьте систему утилитой KVRT на наличие файлового вируса в системе.

Также рекомендуется сменить все пароли.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

После проверки выполните следующее (в системе они еще присутствуют):

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
C:\Users\User1\AppData\Roaming\453684.exe
C:\Users\buh1\AppData\Roaming\1058288.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
cooperd Новичок

cooperd

Опубликовано
  • Автор
Опубликовано (изменено)

прикрепил после проверки kvrd лог автолог и Farbar , пока без изменений

Fixlog.txt

CollectionLog-2018.07.26-17.49.zip

Изменено пользователем cooperd
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

сейчас проверяю kvrt

Утилита KVRT нашла все файловые вирусы? Если нет, то скачайте последнюю версию KRD.

 

Выполните следующее в AVZ:

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Инфлюенсер
      Данные зашифрованные с помощью diskCriptor
      От Инфлюенсер
      Добрый день, произошел взлом системы. Пострадали пк и сервера, злоумышленник зашифровал данные. Так же попросил выкуп. для теста дал пароль от одного из дисков с помощью которого удалось расшифровать диск с которого собраны логи по запросу, в данный момент диски заблокированы. Требуется ли с помощью программы R.Saver   попытаться вытащить какиет-о файлы, так как в настоящий момент  диски являются роу
      Addition.txtFRST.txt
    • dexter
      О настройке защиты ввода данных
      От dexter
      Всем привет.
       
      Открыл меню Плюса и увидел сообщение (скрин). Ладно, залез в BIOS и включил виртуализацию и попутно (по совету в одной из профильных статей ЛК) параметр VT-d.
      Опять посетил Настройку защиты ввода данных и опять сообщение "... Обнаружено несовместимое устройство или программное обеспечение."
       
      Хорошо. По поводу устройства - ясен пень, имеется в виду модуль TPM . Но он у меня не установлен. Это я знаю точно, поскольку я его не покупал и не устанавливал ( как мне разъяснили в одном из магазинов,
      сие устройство запрещено к оф. продаже). Разъём на плате есть, а самого модуля - нету.
       
      Смотрим и читаем дальше много букв в одной из профильных статей от ЛК. И оказывается, что причин о несовместимости программного обеспечения может быть несколько - https://support.kaspersky.ru/common/safemoney/13713#block1
      то что вверху написано - не суть важно. Листаем список ниже. И что мы там видим ? А то, что под программным обеспечением имеется в виду в том числе Изоляция ядра и Smart App Control.
      У меня, на начальной стадии использования винды-11 Smart App Control отключен, т.к. находится в  режиме "Оценка".
       
      А теперь такой вопрос к разработчикам : нельзя как-то решить эту коллизию с Smart App Control , Изоляцией ядра и защитой ввода данных с использованием аппаратной виртуализации ?
      Или вы реально решили, что для функционирования Плюса в том виде, как Вы задумали , надо отключить несколько функций по обеспечению безопасности в самой системе ?


    • Bercolitt
      Удаленный доступ к моим данным на ПК
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
    • Дмитрий С1990
      Зашифровали данные
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • ruslan_dzusev
      Вирус защифровал все документы
      От ruslan_dzusev
      Добрый день, первый раз сталкиваюсь с таким видом вымогательства,так сказать дебьют... на компьютере вроде бы ничего левого не скачивал, но файлы зашифровались с расширением .bNch5yfLR даже не знаю прощаться с файлами или что-то можно сделать
      bNch5yfLR.README.txt FSS_PROD_CERT_2021.cer.rar
×
×
  • Создать...