Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Заражение шифровальщиком INFOWAIT

Nospace
 Поделиться

Рекомендуемые сообщения

Nospace Новичок

Nospace

Опубликовано
Опубликовано (изменено)

Здравствуйте. У нас тоже проблема с проникновением вируса Infowait. Присоединил логи, если есть возможность, помогите пожалуйста восстановить зараженные файлы.

CollectionLog-2018.11.23-17.24.zip

Изменено пользователем Nospace
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

YoutubeAdBlock удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\HP\AppData\Local\Roaming\Cache\daemon\printercache.exe','');
 DeleteService('Quoteex');
 DeleteService('backlh');
 DeleteFile('C:\ProgramData\Logic Cramble\set.exe','64');
 DeleteFile('C:\ProgramData\Quoteex\Quoteex.exe','64');
 DeleteSchedulerTask('psv_Fax-Tech');
 DeleteSchedulerTask('psv_Goodwarm');
 DeleteSchedulerTask('psv_Hatcof');
 DeleteSchedulerTask('psv_S--Tom');
 DeleteSchedulerTask('psv_Solcore');
 DeleteSchedulerTask('psv_Zerex');
 DeleteFile('C:\ProgramData\Quoteex\SilverKix.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
AppInit_DLLs: C:\ProgramData\Quoteex\SilverKix.dll => No File
AppInit_DLLs-x32: C:\ProgramData\Quoteex\Plusing.dll => No File
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
HKU\S-1-5-21-2160610355-2833190246-937492713-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoHhAkjwWgm_D3FyL5xjo59vkbDFvitmYh7woCyS4HpHIrYfReMGcXH0422NWg6JsJ3DNyqLYJnlQH5_VAxMJwqiAb83i23FK23fxJRB92yFypmx_nPiBheV8ldNr8uBqu6m-8X9R16TDJNrZaOqd6QTCmgUTtWZ8_qoMs3WC&q={searchTerms}
HKU\S-1-5-21-2160610355-2833190246-937492713-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoHhAkjwWgm_D3FyL5xjo59vkbDFvitmYh7woCyS4HpHIrYfReMGcXH0422NWg6JsJ3DNyqLYJnlQH5_ZsKnvwENJLL89rHb3TNRRYTeuKMCNkeEpFIIeCFEVfLKzw_H5e1XIs8eQldwxVCM4t5DOfCimJPkPZKlIOx8k8KOF
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoHhAkjwWgm_D3FyL5xjo59vkbDFvitmYh7woCyS4HpHIrYfReMGcXH0422NWg6JsJ3DNyqLYJnlQH5_VAxMJwqiAb83i23FK23fxJRB92yFypmx_nPiBheV8ldNr8uBqu6m-8X9R16TDJNrZaOqd6QTCmgUTtWZ8_qoMs3WC&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2160610355-2833190246-937492713-1000 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoHhAkjwWgm_D3FyL5xjo59vkbDFvitmYh7woCyS4HpHIrYfReMGcXH0422NWg6JsJ3DNyqLYJnlQH5_VAxMJwqiAb83i23FK23fxJRB92yFypmx_nPiBheV8ldNr8uBqu6m-8X9R16TDJNrZaOqd6QTCmgUTtWZ8_qoMs3WC&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2160610355-2833190246-937492713-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoHhAkjwWgm_D3FyL5xjo59vkbDFvitmYh7woCyS4HpHIrYfReMGcXH0422NWg6JsJ3DNyqLYJnlQH5_VAxMJwqiAb83i23FK23fxJRB92yFypmx_nPiBheV8ldNr8uBqu6m-8X9R16TDJNrZaOqd6QTCmgUTtWZ8_qoMs3WC&q={searchTerms}
BHO: YoutubeAdBlock -> {586E89A6-A5B5-4B36-9440-4C12FF9C74E4} -> No File
C:\Users\HP\AppData\Local\Google\Chrome\User Data\Default\Extensions\mcnaffmmhjoiehncmejkpbgplmjnfapf
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\HP\AppData\Roaming\Opera Software\Opera Stable\Extensions\noeldoghpbgogfocehhbhhpfnagnhbbh [2018-10-29]
S2 RunBooster; C:\Program Files\RunBooster\RunBoosterService64.exe [X] <==== ATTENTION
2018-11-18 00:50 - 2018-11-18 00:50 - 000001181 _____ C:\Users\Все пользователи\!readme.txt
2018-11-18 00:50 - 2018-11-18 00:50 - 000001181 _____ C:\Users\Public\Documents\!readme.txt
2018-11-18 00:50 - 2018-11-18 00:50 - 000001181 _____ C:\Users\HP\!readme.txt
2018-11-18 00:50 - 2018-11-18 00:50 - 000001181 _____ C:\Users\Default\!readme.txt
2018-11-18 00:50 - 2018-11-18 00:50 - 000001181 _____ C:\Users\!readme.txt
2018-11-18 00:50 - 2018-11-18 00:50 - 000001181 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!readme.txt
2018-11-18 00:50 - 2018-11-18 00:50 - 000001181 _____ C:\ProgramData\!readme.txt
2018-11-12 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-5035-1
2018-11-12 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-13d3-0
2018-11-12 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-5035-1
2018-11-12 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-13d3-0
2018-11-08 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-6ab1-1
2018-11-08 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-67c5-0
2018-11-08 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-6ab1-1
2018-11-08 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-67c5-0
2018-11-07 16:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-6bc7-0
2018-11-07 16:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-3443-1
2018-11-07 16:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-6bc7-0
2018-11-07 16:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-3443-1
2018-11-07 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-7ad5-1
2018-11-07 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-73e5-0
2018-11-07 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-7ad5-1
2018-11-07 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-73e5-0
2018-11-07 09:08 - 2018-11-18 00:50 - 000000000 ____D C:\Users\Все пользователи\E45O2D90HA
2018-11-07 09:08 - 2018-11-18 00:50 - 000000000 ____D C:\ProgramData\E45O2D90HA
2018-11-06 16:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-6641-0
2018-11-06 16:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-58e7-1
2018-11-06 16:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-6641-0
2018-11-06 16:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-58e7-1
2018-11-06 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-7961-1
2018-11-06 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-0827-0
2018-11-06 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-7961-1
2018-11-06 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-0827-0
2018-11-05 16:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-7675-0
2018-11-05 16:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-26e5-1
2018-11-05 16:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-7675-0
2018-11-05 16:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-26e5-1
2018-11-05 12:11 - 2018-11-05 12:11 - 000000000 ____D C:\Windows\SysWOW64\ylnrzmvp
2018-11-05 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-2bc7-0
2018-11-05 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-1e11-1
2018-11-05 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-2bc7-0
2018-11-05 10:44 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-1e11-1
2018-11-05 10:12 - 2018-11-05 10:15 - 000000000 ____D C:\Users\HP\Desktop\04.11.2018
2018-10-31 14:45 - 2018-11-23 15:50 - 000000000 __SHD C:\Users\Все пользователи\services
2018-10-31 14:45 - 2018-11-23 15:50 - 000000000 __SHD C:\ProgramData\services
2018-10-29 16:40 - 2018-11-18 07:22 - 000000000 ____D C:\Program Files (x86)\ZJlwACxPIpGmpNVB
2018-10-29 16:40 - 2018-11-18 07:22 - 000000000 ____D C:\Program Files (x86)\YFseyhTTSweoDxcixvR
2018-10-29 16:40 - 2018-11-18 07:22 - 000000000 ____D C:\Program Files (x86)\VXIXCZnnU
2018-10-29 16:40 - 2018-11-18 07:22 - 000000000 ____D C:\Program Files (x86)\VBeLgSlZrsYKC
2018-10-29 16:40 - 2018-11-18 07:21 - 000000000 ____D C:\Program Files (x86)\JEkILdsaHvdU2
2018-10-29 16:40 - 2018-11-18 07:21 - 000000000 ____D C:\Program Files (x86)\gnogaTRWAYUn
2018-10-29 16:40 - 2018-11-18 07:21 - 000000000 ____D C:\Program Files (x86)\gHUgOvOJlIE
2018-10-29 16:40 - 2018-11-18 00:59 - 000000000 ____D C:\Users\Все пользователи\ZJlwACxPIpGmpNVB
2018-10-29 16:40 - 2018-11-18 00:59 - 000000000 ____D C:\ProgramData\ZJlwACxPIpGmpNVB
2018-10-29 16:40 - 2018-10-29 16:48 - 000000000 ____D C:\Users\HP\AppData\Roaming\dvdughofcro
2018-10-29 16:40 - 2018-10-29 16:40 - 000000000 ____D C:\Program Files\LLR1NJLIPG
2018-10-29 16:40 - 2018-10-29 16:40 - 000000000 ____D C:\Program Files (x86)\VXIXCZnnUjwzvkJaykP
2018-10-29 16:40 - 2018-10-29 16:40 - 000000000 ____D C:\Program Files (x86)\JEkILdsaHvdU2FULBPtgemN
2018-10-29 16:40 - 2018-10-29 16:40 - 000000000 ____D C:\Program Files (x86)\JEkILdsaHvdU2cXrSEGbxco
2018-10-29 16:40 - 2018-10-29 16:40 - 000000000 ____D C:\Program Files (x86)\gHUgOvOJlIEZAgHfDOqeG
2018-10-29 16:39 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-3bb3-0
2018-10-29 16:39 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-3bb3-0
2018-10-29 16:39 - 2018-10-29 16:54 - 000000000 ____D C:\Users\HP\AppData\Roaming\CRMSvc
2018-10-29 16:39 - 2018-10-29 16:48 - 000000000 ____D C:\Users\HP\AppData\Roaming\crfjqhygevi
2018-10-29 16:39 - 2018-10-29 16:39 - 000000000 ____D C:\Program Files\X59OJOTFBQ
2018-10-29 16:38 - 2018-11-23 15:46 - 000000000 ____D C:\Program Files (x86)\FastDataX
2018-10-29 16:38 - 2018-11-22 19:39 - 000000000 ____D C:\Users\Все пользователи\Quoteex
2018-10-29 16:38 - 2018-11-22 19:39 - 000000000 ____D C:\ProgramData\Quoteex
2018-10-29 16:38 - 2018-11-20 09:43 - 000000000 ____D C:\Users\Все пользователи\Logic Cramble
2018-10-29 16:38 - 2018-11-20 09:43 - 000000000 ____D C:\ProgramData\Logic Cramble
2018-10-29 16:38 - 2018-11-18 00:59 - 000000000 ____D C:\Users\Все пользователи\Quoteexs
2018-10-29 16:38 - 2018-11-18 00:59 - 000000000 ____D C:\ProgramData\Quoteexs
2018-10-29 16:38 - 2018-11-18 00:57 - 000000000 ____D C:\Users\Все пользователи\e087a3e8-70b1-1
2018-10-29 16:38 - 2018-11-18 00:57 - 000000000 ____D C:\ProgramData\e087a3e8-70b1-1
2018-10-29 16:38 - 2018-11-16 14:01 - 000015602 _____ C:\Windows\SysWOW64\findit.xml
2018-10-29 16:38 - 2018-10-29 16:48 - 000000000 ____D C:\Users\HP\AppData\Roaming\1rk4vzftmy1
2018-10-29 16:38 - 2018-10-29 16:38 - 002020867 _____ C:\Users\HP\AppData\Local\Freshcore.tst
2018-10-29 16:38 - 2018-10-29 16:38 - 000126464 _____ C:\Users\HP\AppData\Local\noah.dat
2018-10-29 16:38 - 2018-10-29 16:38 - 000070896 _____ C:\Users\HP\AppData\Local\Config.xml
2018-10-29 16:38 - 2018-10-29 16:38 - 000005568 _____ C:\Users\HP\AppData\Local\md.xml
2018-10-29 16:38 - 2018-10-29 16:38 - 000000000 ____D C:\Program Files\EPMT0X4XAB
2018-10-29 16:37 - 2018-10-29 16:37 - 000722944 _____ C:\Users\HP\AppData\Local\sham.db
2018-10-29 16:37 - 2018-10-29 16:37 - 000140800 _____ C:\Users\HP\AppData\Local\installer.dat
2018-10-29 16:37 - 2018-10-29 16:37 - 000016416 _____ C:\Users\HP\AppData\Local\InstallationConfiguration.xml
2018-10-29 16:37 - 2018-10-29 16:37 - 000004272 _____ C:\Windows\System32\Tasks\RunBoosterUpdateTask
2018-10-29 16:32 - 2018-11-26 14:40 - 000000344 _____ C:\Windows\Tasks\Online Application V2G6.job
2018-10-29 16:32 - 2018-11-26 14:40 - 000000344 _____ C:\Windows\Tasks\Online Application V2G5.job
2018-10-29 16:32 - 2018-11-26 14:40 - 000000344 _____ C:\Windows\Tasks\Online Application V2G4.job
2018-10-29 16:32 - 2018-11-26 14:37 - 000000344 _____ C:\Windows\Tasks\Online Application V2G3.job
2018-10-29 16:32 - 2018-11-26 14:37 - 000000344 _____ C:\Windows\Tasks\Online Application V2G2.job
2018-10-29 16:32 - 2018-11-26 14:37 - 000000344 _____ C:\Windows\Tasks\Online Application V2G1.job
2018-10-29 16:32 - 2018-11-23 16:37 - 000000376 _____ C:\Windows\Tasks\Updater_Online_Application.job
2018-10-29 16:32 - 2018-10-29 16:34 - 000003208 _____ C:\Windows\System32\Tasks\Updater_Online_Application
2018-10-29 16:32 - 2018-10-29 16:32 - 000000000 ____D C:\Program Files (x86)\Microleaves
2018-10-29 16:31 - 2018-10-29 16:31 - 000000000 ____D C:\Users\HP\AppData\Roaming\Microleaves
2018-10-29 16:38 - 2018-10-29 16:38 - 000375522 _____ (                                                            ) C:\Users\HP\AppData\Local\Temp\05zdloaqn2i.exe
2018-10-29 16:54 - 2018-10-29 16:54 - 013958656 _____ () C:\Users\HP\AppData\Local\Temp\dcokpzjw.exe
2018-11-12 15:49 - 2018-11-12 15:49 - 013531136 _____ () C:\Users\HP\AppData\Local\Temp\tcutcosj.exe
Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== ATTENTION
Task: {27E2A2F5-5F1E-474E-ACBC-3832F0DD7B27} - \Time Trigger Task -> No File <==== ATTENTION
Task: {4AA1A3B7-B8CB-441F-838C-C14A4986FA3C} - \Online Application V2G2 -> No File <==== ATTENTION
Task: {543A1599-EF57-48B6-8FDA-EEFD16B03D27} - System32\Tasks\Updater_Online_Application => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe [2017-11-02] (Microleaves) <==== ATTENTION
Task: {8C49B941-E878-4D52-955C-92D649FCDDEE} - \Online Application V2G5 -> No File <==== ATTENTION
Task: {992924DF-8839-40C4-9B48-1A3F6D235D3B} - \Online Application V2G6 -> No File <==== ATTENTION
Task: {AB7A1BA9-EEC6-4654-AE48-DCDD7C50D11E} - \Online Application V2G1 -> No File <==== ATTENTION
Task: {B073CDE0-B95D-4CB9-BD4C-B3D51A173ECA} - \Online Application V2G3 -> No File <==== ATTENTION
Task: {C55B117F-8DC2-48B1-921C-28C86799154F} - \FastDataX Task -> No File <==== ATTENTION
Task: {C6AF4BFE-6366-49D7-B386-DC0628AD69CD} - \Online Application V2G4 -> No File <==== ATTENTION
Task: {ED3E38F2-8535-4BE8-87C2-C4CEF119F144} - System32\Tasks\RunBoosterUpdateTask => C:\Program Files\RunBooster\RunBoosterUpdateTask64.exe <==== ATTENTION
Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== ATTENTION
Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== ATTENTION
Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== ATTENTION
Task: C:\Windows\Tasks\Online Application V2G4.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== ATTENTION
Task: C:\Windows\Tasks\Online Application V2G5.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== ATTENTION
Task: C:\Windows\Tasks\Online Application V2G6.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== ATTENTION
Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe <==== ATTENTION
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Мусор почистили.

При наличии действующей лицензии на любой из продуктов компании создавайте запрос на расшифровку

Ссылка на комментарий
Поделиться на другие сайты
Nospace Новичок

Nospace

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь и за подробные инструкции, которые вы пишете на этом форуме. Лицензия есть, правда не на этом компе, но все равно приобретем на будущее.

Еще раз спасибо.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • User-01001
      [РЕШЕНО] Заражение
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Kirill-Ekb
      Шифровальщик ELENOR-corp
      Автор Kirill-Ekb
      Приветствую
       
      По RDP в локальной сети распространился и зашифровал файлы ELENOR-corp на нескольких компьютерах.
      Во вложении файлы диагностики Farbar Recovery Scan Tool и архив с требованием и двумя небольшими зашифрованными файлами - всё с одного компьютера.
      Также есть файл вируса - готов предоставить по необходимости
      Основная цель: расшифровать файлы
      Addition.txt FRST.txt Требование и пример файлов.7z
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
×
×
  • Создать...