Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Защифрованные данные kiaracript@gmail

cooperd
 Поделиться

Рекомендуемые сообщения

SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Знакома ли Вам следующая служба?

"UI0Detect" => service was unlocked. <==== ATTENTION
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
ShortcutTarget: desktop.lnk ->  (No File)
File: C:\MSОCachе\Miсrosоft\Windоws\DеviceMеtadаtaStоre\еn-US\MicrosoftOficeUpdate.exe
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
C:\Windows\inf\NETLIBRARIESTIP
File: C:\Windows\System32\SUPDSvc2.exe
File: C:\Program Files\Unlocker\UnlockerDriver5.sys
File: C:\Windows\system32\UI0Detect.exe
2018-07-25 16:43 - 2016-02-16 19:42 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free VPN
Folder: C:\Windows\Font
Folder: C:\Windows\pss
Folder: C:\Users\aspnet\System
Folder: C:\ProgramData\Microsoft Services
2018-07-24 18:25 - 2018-06-08 21:05 - 000000000 __SHD C:\Users\Все пользователи\Microsoft Services
2018-07-24 18:25 - 2018-06-08 21:05 - 000000000 __SHD C:\ProgramData\Microsoft Services
Folder: C:\Hav
Zip: C:\Users\User1\AppData\Roaming\mon.exe;C:\Users\User1\AppData\Roaming\del.exe;C:\Users\User1\AppData\Roaming\Download.exe;C:\Users\User1\AppData\Roaming\453684.exe;C:\Users\buh1\AppData\Roaming\1058288.exe;C:\Windows\directx.sys
File: C:\Users\User1\AppData\Roaming\mon.exe
File: C:\Users\User1\AppData\Roaming\del.exe
File: C:\Users\User1\AppData\Roaming\Download.exe
File: C:\Users\User1\AppData\Roaming\453684.exe
File: C:\Users\buh1\AppData\Roaming\1058288.exe
File: C:\Windows\directx.sys
File: C:\Users\buh2\AppData\Local\Temp\lKSLJdM.exe
2018-06-07 09:55 - 2018-06-07 09:55 - 000009216 ____N () C:\Users\buh2\AppData\Local\Temp\lKSLJdM.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Обратите внимание обнаружен каталог сигнализирующий проблемы с файловой системой:

2018-07-25 17:29 - 2018-07-25 17:29 - 000000000 __SHD C:\found.000
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
C:\Windows\Font\config.json
Zip: C:\Users\aspnet\System\autch.exe;C:\Users\aspnet\System\autorun.lnk;C:\Users\aspnet\System\winlogon.exe;C:\Hav\config.json;C:\Hav\st.exe;C:\Hav\svhosts.exe
C:\Users\aspnet\System\autch.exe
C:\Hav\config.json
C:\Hav\st.exe
C:\Hav\svhosts.exe
C:\Hav
C:\Users\User1\AppData\Roaming\mon.exe
C:\Users\User1\AppData\Roaming\del.exe
C:\Users\User1\AppData\Roaming\Download.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 

служба мне к сожалению не знакома, 

Похоже служба легитимная, так что проигнорируйте мой вопрос.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Если не начали собирать слог полного сканирования MBAM, то проигнорируйте.

Также пришли результаты карантина:
 

mon.exe - Trojan-Dropper.Win32.Agent.bjvrlj
453684.exe - Virus.Win32.Neshta.d
Download.exe - corrupted
del.exe - corrupted
autorun.lnk -  Trojan.WinLNK.Starter.ce
st.exe -  Trojan-Dropper.Win32.Agent.bjvrlf
winlogon.exe - Trojan-Spy.Win32.Delf.avic

autch.exe - not-a-virus:RiskTool.MSIL.Sidaweb.i
config.json - not-a-virus:RiskTool.HTML.Miner.b
svhosts.exe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

Похоже остались следы файлового вируса.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
CloseProcesses:
File: C:\Users\User1\AppData\Roaming\453684.exe
File: C:\Users\buh1\AppData\Roaming\1058288.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста проверьте систему утилитой KVRT на наличие файлового вируса в системе.

Также рекомендуется сменить все пароли.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

После проверки выполните следующее (в системе они еще присутствуют):

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
C:\Users\User1\AppData\Roaming\453684.exe
C:\Users\buh1\AppData\Roaming\1058288.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
cooperd Новичок

cooperd

Опубликовано
  • Автор
Опубликовано (изменено)

прикрепил после проверки kvrd лог автолог и Farbar , пока без изменений

Fixlog.txt

CollectionLog-2018.07.26-17.49.zip

Изменено пользователем cooperd
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

сейчас проверяю kvrt

Утилита KVRT нашла все файловые вирусы? Если нет, то скачайте последнюю версию KRD.

 

Выполните следующее в AVZ:

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zakot
      Вирус зашифровал данные на сервере
      Автор Zakot
      На сервере вчера вирус зашифровал данные, возможно через RDP попал, сегодня обнаружили.
      virus.zipFRST.txtAddition.txt
    • sergei5
      шифровальшик зашировал все данные
      Автор sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
    • Olga Grinchuk
      Зашифровали данные и требуют выкуп platishilidrochish@fear.pw
      Автор Olga Grinchuk
      Взомали сервер через RDP и зашифровали файлы, оставили почту platishilidrocish@fear.pw для расшифровки и требуют оплату.
      Во вложении требование и зашифрованные файлы.
      требование.rar зашифрованные файлы.rar
    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      Автор Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • Bercolitt
      Удаленный доступ к моим данным на ПК
      Автор Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
×
×
  • Создать...