Перейти к содержанию

вирус шифровальщик

XBoOoMeR
 Поделиться

Рекомендуемые сообщения

XBoOoMeR

XBoOoMeR

Опубликовано
Опубликовано

У меня зашифрованы все данные. сообщение от мошенника:

Внимание! Все Ваши файлы зашифрованы!

Чтобы восстановить свои файлы и получить к ним доступ,
отправьте письмо на почту avastvirusinfo@yandex.ru с текстом "Имя пароля расшифровки: x2Hzqz8YKTjyeKs6Oiz7CzQQ"
 
 
Файлы прикрепить не могу они странного форматаю вот ссылка на яндекс диск: https://yadi.sk/d/kHcsqKLWnjkh3w
XBoOoMeR

XBoOoMeR

Опубликовано
  • Автор
Опубликовано

данный вирус изменил файлы: приложения, ярлыки на файлы формата ink. Лог прилагается

 

Сообщение от модератора thyrex
Темы объединены

CollectionLog-2018.09.18-23.32.zip

SQ

SQ

Опубликовано
Опубликовано (изменено)

Здравствуйте,

Удалите Advanced SystemCare, Iobit, WebCompanion через установку и удаления программ в панели управления.

 

1. HiJackThis (из каталога autologger)профиксить

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinUrl.url    ->    file:///C:\ProgramData\{ab975753-2ec9-2c7b-24a8-b596f9eaf466}\services_update.exe
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YndCase0Sync: (no name) - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YndCase1Modified: (no name) - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YndCase2Error: (no name) - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\    YndCase3Shared: (no name) - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \Microsoft\Windows\Wininet\SystemC - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Task: {219BE923-4598-DC41-C621-EE8429B45257} - C:\WINDOWS\fAdIVYogveoV.exe /q /i http://seweing.org/uzsuuwmbejrm.fwh
O22 - Task: {7E6F69FE-958A-F12B-F751-3BFFB1C6DC11} - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://addfleshitem.com/cl/?guid=3ameko94zmkcuhg3wvabniye1whhheka&prid=1&pid=4_1400_207
O22 - Task: {B7719069-F5D3-05E0-5C7E-175810D46E8E} - C:\WINDOWS\SysWOW64\UXYJpEouuO.exe /q /i http://seweing.org/vzeisrw4ts8n.ugy

2. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

 

3. Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Изменено пользователем regist
XBoOoMeR

XBoOoMeR

Опубликовано
  • Автор
Опубликовано

Я могу открывать приложения при помощи горяч. Клавиш но не могу через ярлыки, формат файлов .ink.2x************ (*- рандомная заглавная буква англ. Алфавита)

SQ

SQ

Опубликовано
Опубликовано

Удалите Driver Booster через установку программ в панели управления.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
File: C:\Program Files (x86)\Wallpaper Engine\wallpaper32.exe
HKLM-x32\...\Run: [] => [X]
Zip: d:\Temp\9X8ghiTJt2CR6nw.exe;C:\Program Files (x86)\FileToNet\FileToNet.exe;C:\Users\user\Downloads\legitbyjeembo.json;C:\ProgramData\Iostream.exe;C:\ProgramData\olly.exe;C:\ProgramData\System Idle.exe;C:\ProgramData\SystemIdle.exe;C:\Users\user\OOyiaqTAfO.exe;C:\Users\user\UaARAEoNygs.exe;C:\Users\user\VBEbt.exe;C:\Users\user\WNoP.exe;C:\Program Files (x86)\sKuiakjiUDjg.exe;C:\Program Files (x86)\Common Files\EHTYbONo.exe;C:\Program Files (x86)\Common Files\IZyZEjNY.exe;C:\Program Files (x86)\Common Files\noXyyX.exe;C:\Users\user\AppData\Roaming\hfCfKsIgaYOca.exe;C:\Users\user\AppData\Roaming\iSEaMfelGYky.exe;C:\Users\user\AppData\Roaming\Bot.exe;C:\Users\user\AppData\Roaming\Nvidiadriver.exe;C:\Users\user\AppData\Local\ArRiwPmpZWh.exe;C:\Users\user\AppData\Local\gauuoEKYkEdL.exe;C:\Users\user\AppData\Local\lOnMvEA.exe;C:\Users\user\AppData\Local\uUXiOealGPtb.exe;C:\Programdata\RealtekHD\taskhostw.exe;C:\WINDOWS\IXAYOnApqaNUD.exe
File: d:\Temp\9X8ghiTJt2CR6nw.exe
HKLM-x32\...\Run: [Alcmeter] => d:\Temp\9X8ghiTJt2CR6nw.exe [16398 2018-07-06] () <==== ATTENTION
File: C:\Program Files (x86)\FileToNet\FileToNet.exe
InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinUrl.url -> URL: file:///C:\ProgramData\{ab975753-2ec9-2c7b-24a8-b596f9eaf466}\services_update.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2018-07-06] ()
Startup: C:\Users\siden\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2018-07-06] ()
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt [2018-07-06] ()
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
R3 iobit_monitor_server; \??\C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\drivers\Monitor_win10_x64.sys [X]
S4 IUFileFilter; \??\C:\Program Files (x86)\IObit\IObit Uninstaller\drivers\win10_amd64\IUFileFilter.sys [X]
Folder: C:\WINDOWS\{89182E96-71ED-4D26-B5D2-741AE64872C6}
2018-09-13 18:46 - 2018-09-13 18:46 - 000003172 _____ C:\WINDOWS\System32\Tasks\Driver Booster Scheduler
2018-09-13 18:26 - 2018-09-13 18:26 - 020279352 _____ (IObit ) C:\Users\user\Downloads\driver_booster_setup.exe
Folder: C:\WINDOWS\{A21F4E57-F38C-48A6-AA94-D8812D42C37A}
File: C:\Users\user\Downloads\legitbyjeembo.json
Folder: C:\Users\user\AppData\Roaming\dll 2.0
Folder: C:\WINDOWS\{05B91DDD-6208-4D5A-8C72-928939559F4E}
Folder: C:\WINDOWS\{EB47D3E9-14CE-4BE0-B16B-C061571F46C7}
Folder: C:\ProgramData\{ab975753-2ec9-2c7b-24a8-b596f9eaf466}
Folder: C:\ProgramData\{8070ce78-4926-aa8a-987e-9119a540eff7}
Folder: C:\ProgramData\{342fdfef-4750-8e3b-be1e-3d0e9abe7e27}
2018-09-06 18:23 - 2018-09-13 18:46 - 000002930 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (user)
Folder: C:\ProgramData\{312198cf-5741-3103-16a2-b494e5719ecd}
Folder: C:\ProgramData\{947b020d-27f1-393f-15fa-8eb0ff150346}
Folder: C:\ProgramData\{0f0be5f5-bcd6-ad5e-c918-e8b9e1f5055b}
Folder: C:\ProgramData\{77108e76-6d9f-3f7f-eb97-ba898bd3cad0}
2018-09-19 07:12 - 2018-05-17 15:27 - 000000000 ____D C:\Users\user\AppData\Roaming\IObit
2018-09-18 16:01 - 2018-05-17 15:27 - 000000000 ____D C:\Users\user\AppData\LocalLow\IObit
Folder: C:\Users\user\AppData\Roaming\mgyun
Folder: C:\Users\user\AppData\Roaming\wget
Folder: C:\ProgramData\WindowsTask
Folder: C:\ProgramData\Windows
Folder: C:\ProgramData\RealtekHD
Folder: C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690}
Folder: C:\ProgramData\{7F40DE3E-8294-4E24-B2EA-80F6C6BB173C}
2018-09-18 16:00 - 2018-05-24 07:35 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser
2018-09-18 16:00 - 2018-05-17 15:39 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller
2018-09-18 16:00 - 2018-05-17 15:28 - 000000000 ____D C:\Users\Все пользователи\ProductData
2018-09-18 16:00 - 2018-05-17 15:28 - 000000000 ____D C:\ProgramData\ProductData
2018-09-18 16:00 - 2018-05-17 15:27 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-09-18 16:00 - 2018-05-17 15:27 - 000000000 ____D C:\ProgramData\IObit
2018-05-06 23:16 - 2009-07-14 04:14 - 000031232 _____ () C:\ProgramData\Iostream.exe
2018-05-06 23:16 - 2009-07-14 04:14 - 000031232 _____ () C:\ProgramData\olly.exe
2018-05-06 23:16 - 2009-07-14 04:14 - 000031232 _____ (Twain Working Group) C:\ProgramData\System Idle.exe
2018-05-06 23:16 - 2009-07-14 04:14 - 000031232 _____ () C:\ProgramData\SystemIdle.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\user\OOyiaqTAfO.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\user\UaARAEoNygs.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Users\user\VBEbt.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\user\WNoP.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Program Files (x86)\sKuiakjiUDjg.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Program Files (x86)\Common Files\EHTYbONo.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Program Files (x86)\Common Files\IZyZEjNY.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Program Files (x86)\Common Files\noXyyX.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\user\AppData\Roaming\hfCfKsIgaYOca.exe
2018-04-12 02:34 - 2018-04-12 02:34 - 000178688 ____N (Microsoft Corporation) C:\Users\user\AppData\Roaming\iSEaMfelGYky.exe
2018-05-06 23:16 - 2009-07-14 04:14 - 000031232 ___SH () C:\Users\user\AppData\Roaming\Bot.exe
2018-05-06 23:16 - 2009-07-14 04:14 - 000031232 ___SH () C:\Users\user\AppData\Roaming\Nvidiadriver.exe
2018-07-10 22:14 - 2018-07-06 17:17 - 000000207 _____ () C:\Users\user\AppData\Roaming\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\user\AppData\Local\ArRiwPmpZWh.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Users\user\AppData\Local\gauuoEKYkEdL.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\user\AppData\Local\lOnMvEA.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000174592 _____ (Microsoft Corporation) C:\Users\user\AppData\Local\uUXiOealGPtb.exe
2018-07-10 22:14 - 2018-07-06 17:17 - 000000207 _____ () C:\Users\user\AppData\Local\КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
ShellIconOverlayIdentifiers: [    YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} =>  -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {1BBBB926-487F-4777-8919-2E23B6D18DB9} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {676461B8-F098-4363-B5C5-968FBD73CFF6} - \{97ADDB80-B16F-C6F2-3926-18299F33453C} -> No File <==== ATTENTION
Task: {7E792CD9-B6CB-480E-910A-46FC9C485456} - System32\Tasks\{7E6F69FE-958A-F12B-F751-3BFFB1C6DC11} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://addfleshitem.com/cl/?guid=3ameko94zmkcuhg3wvabniye1whhheka&prid=1&pid=4_1400_207
Task: {815561D9-724E-4BED-86D5-84B313AA7762} - System32\Tasks\Driver Booster SkipUAC (user) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe [2018-07-24] (IObit)
Task: {947D3BE7-5A38-46D4-83DF-7E192B76487D} - \WinUrl -> No File <==== ATTENTION
Task: {9BD8F663-933F-4FE7-9C0F-79A4109FC9D6} - \{219BE923-4598-DC41-C621-EE8429B45257} -> No File <==== ATTENTION
Task: {C5EFCA90-2830-4CCC-B57F-AA6A9FD07072} - System32\Tasks\Driver Booster Scheduler => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe [2018-07-18] (IObit)
Task: {C98FF5F1-84AA-4AF7-B965-6FD7C764E4AC} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe
C:\Programdata\RealtekHD\taskhostw.exe
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [138]
AlternateDataStreams: C:\Users\Public\AppData:CSM [468]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939 [138]
FirewallRules: [{5FD80D09-16E6-4574-8D85-6A89F6201143}] => (Allow) C:\WINDOWS\IXAYOnApqaNUD.exe
FirewallRules: [{D90ABF9F-3833-49F6-B576-DAE4E07C5AD4}] => (Allow) C:\Users\user\AppData\Roaming\hfCfKsIgaYOca.exe
FirewallRules: [{6D8233A1-7245-43A8-B00D-1D0D972D772B}] => (Allow) C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\AutoUpdate.exe
FirewallRules: [{E7EC716F-9BCB-4048-939D-42AD8C51011C}] => (Allow) C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\AutoUpdate.exe
FirewallRules: [{C0058F4D-A6CC-47D8-98FE-A2E9F97A09E1}] => (Allow) C:\Users\user\AppData\Local\lOnMvEA.exe
FirewallRules: [{D77FEAE8-4B1F-4CD3-903F-484B1E241087}] => (Allow) C:\Users\user\OOyiaqTAfO.exe
FirewallRules: [{282302AD-4FE1-4C4B-8714-BFF1A578E897}] => (Allow) C:\Users\user\WNoP.exe
FirewallRules: [{062396F6-38BB-4075-B435-134FBF5E1427}] => (Allow) C:\Program Files (x86)\Common Files\EHTYbONo.exe
FirewallRules: [{58B53086-5AFD-44FF-A57C-2A13233B27B3}] => (Allow) C:\Program Files (x86)\Common Files\IZyZEjNY.exe
FirewallRules: [{8077199E-BC84-47B8-A974-D757950CED7D}] => (Allow) C:\Users\user\UaARAEoNygs.exe
FirewallRules: [{6F349DF5-5947-4DB7-83D0-5940CDF93FBA}] => (Allow) C:\Users\user\AppData\Local\ArRiwPmpZWh.exe
FirewallRules: [{48BCE4C1-FAC1-4EB5-9B3D-00E8CD7D558A}] => (Allow) C:\WINDOWS\IbgRyF.exe
FirewallRules: [{96489818-5E60-4BBB-90B8-6E0B2AD0CE7F}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe
FirewallRules: [{BAD10B92-CD05-4EAA-AB06-300ABF5936C1}] => (Allow) C:\WINDOWS\fAdIVYogveoV.exe
FirewallRules: [{969CFF12-59E3-46DE-ADFC-636770D6155C}] => (Allow) C:\WINDOWS\SysWOW64\UXYJpEouuO.exe
FirewallRules: [{A832954C-6483-4191-B787-8C235D3345F3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{D22C33FF-12E8-47CB-97D4-3FED6DEEEA62}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{FCCBE4BF-DF86-4EB7-982E-8F6D48042B2B}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{F2DA4C25-F289-430F-93CB-5FDA9030DD72}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{1D6479B8-9772-459A-8DAE-916DE1E7E052}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{367B8E9E-310A-41B3-8B52-3B67F4A95FF6}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{5F11A691-7162-474F-95C7-BD1E0A528938}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{59BA9A35-7AE9-4D26-BE82-AE45509128F4}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{CCD7A466-1715-4B35-B7D4-57F2DF023C7A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{E5D88717-82BC-4352-BA88-C9736FDE412E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{6AA2B417-F14A-41BB-9D99-B5A8CD5692A2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{9213DA6B-E0CF-4D35-AB01-EC482AB87BD5}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{6F83459E-8E51-47F3-9AE6-1B69D8752420}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{7A466E5A-6D0F-4776-AAFB-E383D4049E44}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{442C2363-BA6F-4D99-BB6E-8277C64A4C4D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{E86D3D12-19E5-4507-A25D-106BC7A94EEE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{87158722-DC95-4A58-AFBC-59FAC8550877}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{FEBF080F-F2CE-47AF-A6DC-8F14F74DAA80}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{9FB43E97-CDF7-44BF-9421-D0052AAC2DAD}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{0D10F186-AC3D-4816-9786-7A8000542392}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{C1C05FB7-98F7-4216-BED6-FD1C5E63F729}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{B9BBE3D7-D7B7-43FF-A3CE-D036101F02E3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{050FA967-720D-44F3-9FB4-C17BF4D0312C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{764BFBC4-42B2-4E1F-BF5D-F116F3FCD6F6}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{396945D1-D0EA-4BC7-81D7-2454BA567C78}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{0F135DC8-85EC-4392-8107-5249C789E841}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{B3FE29CA-5B28-4E36-9219-0D6F70CA0E80}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{F249F2E2-3657-4D68-ACB2-CDA1781E87F2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{1381AEEE-9B38-4449-A622-7394F77C122D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{C765C30C-FD8B-4A88-A183-202F8125F8D9}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{B26E92BB-E7D5-42B0-8A2A-E8EC586567D3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{AF42C286-5555-4D31-B3D1-701D0948D938}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{D830C9D9-0C1C-4ED9-AAB0-887F7F73A335}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{D59F0A1F-9478-4304-8C0B-677841534220}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{D48473E9-0CA5-475D-B5C0-20313D7D8C3F}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{41EFC67A-70FF-4805-98D6-42A71F3F687D}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
FirewallRules: [{B4508401-391A-4E45-A64A-988F9CFAD626}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{8F5AD2B6-67F2-426D-B67B-B5F4CF120C2F}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{292D8383-A472-4FE2-866B-DA8BC861520B}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
FirewallRules: [{49535A0F-92C2-4896-BB3E-E6C478FEA8F0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{584A49C8-AD9B-4DA9-8940-17FA4C6FE05A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{259402E3-07E1-464A-820A-713C97DA255A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
FirewallRules: [{6A62FB6F-4283-44AF-BB01-6B1560990E93}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{A1BDFC5F-28B0-4BD4-91CB-A13A0E6BB6DA}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{0E3FAB7D-A179-405B-9A43-71006CABC8BE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{CD6ED207-1873-4772-883C-8BC75216FCB3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{68E5D09A-2A04-4766-A020-78D0437FB0F0}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{49C457FB-22D1-4C26-947D-C5D1522ECBE6}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{2179E711-5CB7-40F1-8C03-A6CCB2465ACD}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{FC3B978A-B292-497A-B2C6-D58DA6A39E7C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{C6CEC093-EA3B-4E1C-A9C5-9C81AB135106}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{FA3FD5BF-DC14-42A0-8F1A-D4CD4FA789E3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{45CBCC25-DE9F-42C4-855C-CBC2B73E6BC7}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{41066A73-42A2-4F15-8DA8-02047C74361A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{47879365-CFCA-494B-B7A1-50F1851F35C8}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{C354ED40-225A-4D23-A644-A72EAE7193CB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{A393B7BA-555D-42E2-ADE7-6BB58B9DD617}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{D5D60DBD-4C0C-42ED-BE60-C3267C3976D7}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{171127E9-B6F2-4D40-9F52-0097AE2A8A55}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{B22224A4-EC50-4523-92B0-E0B850482C4B}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{3B56E28E-19D0-49E8-B55B-FECF326FFCE4}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{AE4D810B-D62E-47B5-B04B-73F5D4879839}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{703011B6-F6B1-44F0-BE25-8AC4076FCA09}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{3F711582-3798-4BA0-B3D1-9D3D9E6DD22E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{41CDF402-FE62-4860-AD18-CA815D8B657C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{23034188-428B-478A-96EA-50CBD96EB9E9}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{E2EE09B2-3B2F-4980-AA23-F98D796A3AC6}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{64E0F06E-30B4-491C-B973-92C349DDF0B8}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{DF4C5F51-B8EB-40F0-8898-8DACE6A17887}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{C0B5FB68-DF3E-43B8-8558-0CF645D6D11F}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{CB2E4D8C-5242-4C59-B81D-3BB6ACE3DAC9}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{8B4676D7-E114-42F3-8473-289A09B1B1DD}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{CE9FE786-4A77-4F5D-96E5-94D8A4CC8416}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{EA3CC434-BCAA-410B-82F2-E9015D4F62A0}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{311807A4-F778-462A-B2C5-CDECBEAEAEEE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{38870355-C5AC-4164-BCEC-81C9A7787772}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{DF85A280-053D-4780-AA5C-4451580332AF}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{2B391035-ACE4-4DC2-A6F6-B4CCE298024E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{18690410-001D-4B75-8E54-936FFA38FEE8}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{AA9F9BC1-3138-4B66-877B-3BD3D9FF7725}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{A75A0EC1-E818-403F-A45B-412B16C674B8}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{EC44C4D4-9059-43E8-BB3A-673EA38FFEBB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{30C19F11-27A8-48AD-8CFB-2BABAC800704}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{68B37C88-B9D5-4518-B5A5-09613EB59704}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
FirewallRules: [{F2FF4131-F569-4F7A-BCE9-D84D0FAAB1A4}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.



На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

XBoOoMeR

XBoOoMeR

Опубликовано
  • Автор
Опубликовано (изменено)

я все сделал, файл прилагается

Fixlog.txt

Изменено пользователем XBoOoMeR
SQ

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
d:\Temp\9X8ghiTJt2CR6nw.exe
Zip: C:\Users\user\AppData\Roaming\wget\wget_1_19_4.exe;C:\ProgramData\Windows\install.vbs;C:\ProgramData\Windows\vp8decoder.dll;C:\ProgramData\Windows\vp8encoder.dll
C:\ProgramData\WindowsTask
C:\Users\user\AppData\Roaming\wget
C:\ProgramData\{ab975753-2ec9-2c7b-24a8-b596f9eaf466}
C:\ProgramData\{8070ce78-4926-aa8a-987e-9119a540eff7}
C:\ProgramData\{342fdfef-4750-8e3b-be1e-3d0e9abe7e27}
C:\ProgramData\{312198cf-5741-3103-16a2-b494e5719ecd}
C:\ProgramData\{947b020d-27f1-393f-15fa-8eb0ff150346}
C:\ProgramData\{0f0be5f5-bcd6-ad5e-c918-e8b9e1f5055b}
C:\ProgramData\{77108e76-6d9f-3f7f-eb97-ba898bd3cad0}
C:\WINDOWS\{89182E96-71ED-4D26-B5D2-741AE64872C6}
C:\WINDOWS\{A21F4E57-F38C-48A6-AA94-D8812D42C37A}
C:\WINDOWS\{05B91DDD-6208-4D5A-8C72-928939559F4E}
C:\WINDOWS\{EB47D3E9-14CE-4BE0-B16B-C061571F46C7}
C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690}
C:\ProgramData\Windows
C:\ProgramData\RealtekHD
C:\ProgramData\{7F40DE3E-8294-4E24-B2EA-80F6C6BB173C}
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.



На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

regist

regist

Опубликовано
Опубликовано

@XBoOoMeR, +

удалите скачанный Автологер и созданную им папку. Скачайте свежую версию (он успел обновился). И ещё раз попробуйте собрать им логи.

  • Спасибо (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ajax
      Вирус-шифровальщик устанавливает расширение .du1732
      Автор Ajax
      Доброго времени суток. Я "поймал" вирус шифровальщик, который зашифвровал почти все данные на моем ПК. зашифрованные файлы получили рсширение .du1732. Почта злоумышленников: dumdos@ya.ru.
      CollectionLog-2017.05.06-23.50.zip
    • Alx_trvkn
      Шифровальщик, расширение .du1732, email вымогателей dumdos@ya.ru
      Автор Alx_trvkn
      Добрый день. Сервер словил вирус дважды: первый раз файлы были зашифрованы на съемном носителе, подключенным к серверу, скорее всего кто-то из двух пользователей, имеющих доступ, запустил его через вложение в почте.
      Удалив его антивирусом, не стал заморачиваться с дешифровкой, тк зараженные файлы были не нужны. Кстати, шифрование/email вымогателя отличались от вторичного заражения
       
      Второе заражение произошло вчера, в этот раз уже были зашифрованы файлы на основном диске. Просмотр журнала показал, что был создан пользователь с правами админа, через него был выполнен вход, использовалась утилита PsExec, с помощью которой выполнялись нужные команды, в тч деинсталляция антивируса, и тп... Пользователя этого я уже удалил, а вот PsExec была удалена самими злоумышленниками после запуска шифровальщика.
       
      Согласно порядка оформления заявки, скачал и выполнил проверку KVRT, запустил сборщик логов. Прилагаю архив с логами а также файл с адресом вымогателей.
      Для доступа на сервер для сбора логов я использовал приложение Teamviewer
       
      Буду рад любой помощи,
      С уважением,
      Александр 
      CollectionLog-2017.05.06-13.57.zip
      КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    • Armanjan
      серверов файлы шифровании
      Автор Armanjan
      ek серверов файлы шифровании 
      CollectionLog-2017.05.01-18.28.zip
    • Armanjan
      Вымогатель расширение
      Автор Armanjan
      На нескольких серверов файлы шифровании 
       

      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные ссылки и файлы на форум. Логт.rar
      файлы.rar
    • 19boom
      вирус-шифровальщик Ransom: Win32/Sorikrypt.A
      Автор 19boom
      Зашифровал базу 1с на сервере.
      Вирус я нашел с помощью KVRT и удалил (спасибо форуму)
      как восстановить 1с?
       
      запустить сборщик логов не получается (ошибка в прикрепленном фото)
       
      Need help please(
       
       



×
×
  • Создать...