Перейти к содержанию

Combo

eIIIkuHkoT
 Поделиться

Рекомендуемые сообщения

  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • eIIIkuHkoT

    18

  • regist

    16

  • kiara

    1

  • Hendehog

    1

Топ авторов темы

Изображения в теме

regist

regist

Опубликовано
Опубликовано

@eIIIkuHkoT, вы из Автозапуска отключили всё после того как запустили Автологер или после? Похоже, что после. Попробуйте ещё раз.

1) Автозапуск всё лишнее у вас уже должно быть отключено

2) Запускаете Process Monitor включаете Enable Boot Logging.

3) Запускаете Автологер и дожидаетесь перезагрузки.

4) После перезагруки ждёте окончания загрузки системы, сохраняете лог. Архивируете и прикрепляете.

Пункты №2 и №3 можно поменять местами, это не имеет значения.

kiara

kiara

Опубликовано
Опубликовано

дико извиняюсь, просто тема актуальная и вирус тот же. Такой вопрос. на сколько я понял данный вирус ключ шифрования стирает? т.е. он создается на диске в каком либо виде или нет? Стоит пытаться найти путем восстановления файлов ключ шифрования?

 

ЗЫ Где можно подробно почитать про то как он работает? Есть комп зараженный, вдруг можно как то вытащить ключ шифрования...

regist

regist

Опубликовано
Опубликовано

 

 


Стоит пытаться найти путем восстановления файлов ключ шифрования?
нет.

По остальным вопросам касательно рассшифровки при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
Если нужно почистить систему от остатков вируса, то Порядок оформления запроса о помощи
обратите внимание на пункт №3.


а если будете искать в яндексе/гугле инфу, то скорее найдете описание его семейства Dharma.

eIIIkuHkoT

eIIIkuHkoT

Опубликовано
  • Автор
Опубликовано

Спасибо за оказанную помощь. Решил я взять и снести систему и поставить новую ибо уже нет сил заниматься сексом с этим ПК, да и сотруднику нужно работать. Еще раз огромное спасибо.

 

Вот только бы очень хотелось узнать от куда пришел Шифровальщик? Подобной инфы случайно по каким нить лога не видно? Ибо доступа по РДП из глобалки нет, смотрел почту пользователя там тоже ничего подозрительного не видел. И все же хотелось бы знать от куда попал этот шифровальщик.

Hendehog

Hendehog

Опубликовано
Опубликовано

Спасибо за оказанную помощь. Решил я взять и снести систему и поставить новую ибо уже нет сил заниматься сексом с этим ПК, да и сотруднику нужно работать. Еще раз огромное спасибо.

 

Вот только бы очень хотелось узнать от куда пришел Шифровальщик? Подобной инфы случайно по каким нить лога не видно? Ибо доступа по РДП из глобалки нет, смотрел почту пользователя там тоже ничего подозрительного не видел. И все же хотелось бы знать от куда попал этот шифровальщик.

Не узнаешь.

Я тут кучу логов с компов выкладывал так и не нашли.

Справедливости ради , скажу что предварительно эти компы пролечил cureit и KVRT.

Но одна тупость этих двух софтин меня убивает,то что логи нельзя посмотреть после лечения.

Да он там какие-то логи пишет как я понял,но тупо нельзя посмотреть где-нибудь в текстовом файле какие вообще угрозы он находил после закрытия программы..а это очень плохо..подозреваю если бы он писал,так бы может и нашел откуда зараза пришла...а логи KVRT никто мне тут расшифровывать не станет,тем более они в своем формате каком-то...

Сообщение от модератора kmscom
не нарушайте правил раздела Уничтожение вирусов

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alex555
      Вирус шифровальщик wallet
      Автор Alex555
      Вирус зашифровал все файлы и переименовал их. Все файлы имеют расширение wallet. Скажите пожалуйста есть ли варианты решения данной проблемы? Пример файла во вложении.
    • jay228
      помогите расшифровать файлы с расширением *.onion
      Автор jay228
      Здраствуйте. не хотел создавать новую тему т.к. похожая ситуация . заметил что в время работы за пк перестал запускатся тотал командер . когда вошел через папку в корне диска С увидел файлы с расширением *.onion . поскольку не чего не запускалось то я сделал перегрузку и зашел в безопасный режим . там выяснилось что с расширением onion только файлы в корне диска С и часть файлов в папках первых по алфавиту. остальное все на месте. Сейчас загрузился с загрузочной флешки и пишу вам. у меня вопрос. возможно я успел до того как вирус пошифровал мне все. возможно как то удалить его и предотвратить его дальнейшую работу не находясь с системного диска а с live-cd или расшифровать зашифрованые файлы для дальнейшего сноса системы ?
       
      п.с. логи не приложил т.к. не загружал систему во избежание дальнейшей потери файлов. могу их предоставить если их можно сделать с загрузочного носителя
    • Анвар
      Шифровальщик
      Автор Анвар
      Поймали вирус, он зашифровал файлы в вид Имя_файла.оригинальное_расширение.id-9CD284DD.[amagnus00@dmx.com].wallet.  Возможна ли дешифровка?
      CollectionLog-2017.04.20-15.36.zip
    • synopsis
      зашифровались файлы [amagnus00@gmx.com].wallet
      Автор synopsis
      зашифровались файлы :
       
      KVRT обнаружил payload_127AMM.exe файлы как Trojan-Ransom.Win32.Crusis.so
       
      RakhniDecryptor не помог
      CollectionLog-2017.04.29-17.28.zip
    • MSBishop
      Новое Расширение: Dharma шифровальщика: .onion
      Автор MSBishop
      Поймали шифровальщик. 
      Со страху пользователь грохнул систему и переустановил ОС поэтому ни логов и прочей информации собрать не удалось, остались только зашифрованные фалы
      Имена фалов изменились по шаблону: config.sys.id -66813FE4.[felix_dies@aol.com].onion
      Идентификация в ID Ransomware: Dharma (.onion)
       
      Для прочих dharma шифровальщиков есть дешифраторы.
      Есть ли шанс что для этого расширения будет дешифратор?
×
×
  • Создать...