Перейти к содержанию

Защифрованные данные kiaracript@gmail

cooperd
 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Знакома ли Вам следующая служба?

"UI0Detect" => service was unlocked. <==== ATTENTION
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
ShortcutTarget: desktop.lnk ->  (No File)
File: C:\MSОCachе\Miсrosоft\Windоws\DеviceMеtadаtaStоre\еn-US\MicrosoftOficeUpdate.exe
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
C:\Windows\inf\NETLIBRARIESTIP
File: C:\Windows\System32\SUPDSvc2.exe
File: C:\Program Files\Unlocker\UnlockerDriver5.sys
File: C:\Windows\system32\UI0Detect.exe
2018-07-25 16:43 - 2016-02-16 19:42 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free VPN
Folder: C:\Windows\Font
Folder: C:\Windows\pss
Folder: C:\Users\aspnet\System
Folder: C:\ProgramData\Microsoft Services
2018-07-24 18:25 - 2018-06-08 21:05 - 000000000 __SHD C:\Users\Все пользователи\Microsoft Services
2018-07-24 18:25 - 2018-06-08 21:05 - 000000000 __SHD C:\ProgramData\Microsoft Services
Folder: C:\Hav
Zip: C:\Users\User1\AppData\Roaming\mon.exe;C:\Users\User1\AppData\Roaming\del.exe;C:\Users\User1\AppData\Roaming\Download.exe;C:\Users\User1\AppData\Roaming\453684.exe;C:\Users\buh1\AppData\Roaming\1058288.exe;C:\Windows\directx.sys
File: C:\Users\User1\AppData\Roaming\mon.exe
File: C:\Users\User1\AppData\Roaming\del.exe
File: C:\Users\User1\AppData\Roaming\Download.exe
File: C:\Users\User1\AppData\Roaming\453684.exe
File: C:\Users\buh1\AppData\Roaming\1058288.exe
File: C:\Windows\directx.sys
File: C:\Users\buh2\AppData\Local\Temp\lKSLJdM.exe
2018-06-07 09:55 - 2018-06-07 09:55 - 000009216 ____N () C:\Users\buh2\AppData\Local\Temp\lKSLJdM.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Обратите внимание обнаружен каталог сигнализирующий проблемы с файловой системой:

2018-07-25 17:29 - 2018-07-25 17:29 - 000000000 __SHD C:\found.000
  • Согласен 1
SQ

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
C:\Windows\Font\config.json
Zip: C:\Users\aspnet\System\autch.exe;C:\Users\aspnet\System\autorun.lnk;C:\Users\aspnet\System\winlogon.exe;C:\Hav\config.json;C:\Hav\st.exe;C:\Hav\svhosts.exe
C:\Users\aspnet\System\autch.exe
C:\Hav\config.json
C:\Hav\st.exe
C:\Hav\svhosts.exe
C:\Hav
C:\Users\User1\AppData\Roaming\mon.exe
C:\Users\User1\AppData\Roaming\del.exe
C:\Users\User1\AppData\Roaming\Download.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 

служба мне к сожалению не знакома, 

Похоже служба легитимная, так что проигнорируйте мой вопрос.

SQ

SQ

Опубликовано
Опубликовано

Если не начали собирать слог полного сканирования MBAM, то проигнорируйте.

Также пришли результаты карантина:
 

mon.exe - Trojan-Dropper.Win32.Agent.bjvrlj
453684.exe - Virus.Win32.Neshta.d
Download.exe - corrupted
del.exe - corrupted
autorun.lnk -  Trojan.WinLNK.Starter.ce
st.exe -  Trojan-Dropper.Win32.Agent.bjvrlf
winlogon.exe - Trojan-Spy.Win32.Delf.avic

autch.exe - not-a-virus:RiskTool.MSIL.Sidaweb.i
config.json - not-a-virus:RiskTool.HTML.Miner.b
svhosts.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

Похоже остались следы файлового вируса.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
CloseProcesses:
File: C:\Users\User1\AppData\Roaming\453684.exe
File: C:\Users\buh1\AppData\Roaming\1058288.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста проверьте систему утилитой KVRT на наличие файлового вируса в системе.

Также рекомендуется сменить все пароли.

cooperd

cooperd

Опубликовано
  • Автор
Опубликовано (изменено)

farbar отчет 

сейчас проверяю kvrt

Fixlog.txt

Изменено пользователем cooperd
SQ

SQ

Опубликовано
Опубликовано

После проверки выполните следующее (в системе они еще присутствуют):

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
C:\Users\User1\AppData\Roaming\453684.exe
C:\Users\buh1\AppData\Roaming\1058288.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

  • Согласен 1
SQ

SQ

Опубликовано
Опубликовано

сейчас проверяю kvrt

Утилита KVRT нашла все файловые вирусы? Если нет, то скачайте последнюю версию KRD.

 

Выполните следующее в AVZ:

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

cooperd

cooperd

Опубликовано
  • Автор
Опубликовано

нашла 19 вирусов, все удалил. Скрипты выполнил

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lesnik888
      data-centr@tech-center.com требуют денег
      Автор Lesnik888
      Добрый день,Евгений! У знакомых сломали компьютер,оставили только вот такое сообщение-
      "Здравствуйте.
      В течении продолжительного времени с Вашим сервером была проведена большая работа по перемещению всех доступных данных в расширенное
      облачное хранилище. В случае если данные представляют для Вас ценность просьба дать нам о этом знать написав на data-centr@tech-center.com
      в сообщении указав 3719595
      В случае своевременного обращения гарантируем полный возврат данных."
       
      Пробуем восстановить данные.Не сталкивались ли вы с такими?Как можно им защитится в будущем от подобного?
      С уважением,Александр.
       

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"
    • pavuk-rv
      Файлы зашифрованы Trojan.Encoder.7223
      Автор pavuk-rv
      Здравствуйте!
      Зашифрованы файлы, Др.ВЕБ сделали заключение: 
       
      Есть ли у Вашей лаборатории возможность расшифровать файлы?
      Файлы протоколов прикрепляю.
      CollectionLog-2017.04.12-17.36.zip
      report2.log
      AutoLogger.zip
    • andrew0352
      Вирус шифровальщик *.decryptallfiles3@india
      Автор andrew0352
      Доброго времени суток. Подцепил вирус шифровальщик , все файлы стали с расширением " *.decryptallfiles3@india" и при запуске системы открывается окно с просьбой сообщить свой ID  на эл.почту "decryptallfiles3@india.com" (присвоился из файла "Read Me Please" который находится в каждой папке. Пробовал разные утилиты для расшифровки но ни что не помогло.

      1-я часть файла не шифрованный

      2-я часть файла не шифрованный

      1-я часть файла шифрованный

      2-я часть файла шифрованный
      CollectionLog-2017.03.08-14.54.zip
      foto-good.part1.rar
      foto-good.part2.rar
      pa-MZ3HLDO39cWbp.decryptallfiles3@india.part1.rar
      pa-MZ3HLDO39cWbp.decryptallfiles3@india.part2.rar
    • noname61
      Помогите с шифровальщиком
      Автор noname61
      Клиенты поймали шифровальщик, после зашифровки появился файл на диске D с ключем и ссылкой на сай для покупки дешифратора, покупка тоже не привела к успеху, деньги ушли в неизвестность. Прошу помощи по данному вирусу. Прилагаю файл вируса, ключ с ссылкой, а так же 2 файла (зашифрованный и дешифрованный)
    • Viktor3954135
      Случайно запустил из почты скрипт
      Автор Viktor3954135
      Пришло письмо якобы Сбербанк выставил счет, пытался открыть только потом дошло что это скрипт...

      Что он мог натворить и как избавиться???
       
      AVZ зависает при начале прямого чтения много багов...
       
      Помогите исправить....
       
      прикрепил логи AVZ и тот скрипт что приехал...
       
       
      Заранее спасибо...
×
×
  • Создать...