Перейти к содержанию

[РЕШЕНО] Имею аналогичную проблему с шифровальщиком

pilot59
 Share

Рекомендуемые сообщения

pilot59 Новичок

pilot59

Опубликовано
Опубликовано

Добрый день. Имею аналогичную проблему.
Во вложении Образцы, frst и CollectionLog
Помогите пожалуйста.

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=62749

frst.zip

example.zip

CollectionLog-2019.05.08-13.05.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\winhlp64.exe','');
 DeleteFile('C:\Windows\winhlp64.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
pilot59 Новичок

pilot59

Опубликовано
  • Автор
Опубликовано

Результат загрузки Файл сохранён как 190508_125326_quarantine_5cd2d14650c25.zip Размер файла 2437486 MD5 74973842bf24848a690a6b22ba9d2f95 Файл закачан, спасибо!

autologger

CollectionLog-2019.05.08-16.01.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Эти настройки в групповых политиках

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION

HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION

HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION

HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION

HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION

HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION

HKLM Group Policy restriction on software: C:\ProgramData\DRM <==== ATTENTION

HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION

сами делали?

 

C:\Users\prjcastle\Desktop\Desktop_Locker.exe - эта программа Вам известна?

 

Новые логи Farbar сделайте.

Ссылка на комментарий
Поделиться на другие сайты
pilot59 Новичок

pilot59

Опубликовано
  • Автор
Опубликовано

Нет, настройки эти вроде не трогал. В таком виде вижу их в первые.
Desktop_Locker - мне не известен. Видимо через этого пользователя (prjcastle) всё и пришло из-за ненадежного пароля.

Логи Farbar прилагаю.

Уточню. У меня не стоит задача навести порядок и всё вылечить. Мне нужно расшифровать несколько файлов.   ~800мб - SQL База. Дальше я могу всё переустановить заново на чистый диск.
 

frst2.zip

Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Pentalogue
      Мне нужно исправить проблему с жёстким диском
      От Pentalogue
      Я использую Windows 10. Мой жёсткий диск от WD Blue на 2000 гигабайт.
      Когда Я подсоединяю к своему жёсткому диску кабель питания SATA, на котором написано "P3", он периодически начинает то включаться, то выключаться. Это отображается в проводнике, как появление и возможность взаимодействия с файлами на нём, но притом только на несколько секунд, так как он выключается и вместе с этим возможность взаимодействия с файлами на нём - это происходит циклично, когда SATA подключён к этому жёсткому диску, но из-за этого Я уже его оставляю не подключённым. Всё это плохо сказывается на его работе, ведь он сыпется из-за многократного включения-выключения, так как жёсткий диск расчитан на какое-то N-ое количество включений (как Мне говорили). Я очень сильно надеюсь, что проблема кроется именно в SATA, а не в жёстком диске, который проработал всего-то больше года.
      Я успевал проверять свой жёсткий диск с помощью Crystal Disk Info (по рекомендациям своих товарищей), когда он во время своего цикла включения-выключения появлялся в системе. Утилита показала, что у моего жёсткого диска довольно большое количество переназначенных секторов. Но Я уверен, что и до проблемы с SATA уже такое было, и это Мне абсолютно не мешало. Мой жёсткий диск и сейчас надёжен в плане сохранения и хранения данных, но Мне мешает лишь одно явление - это невозможность нормального взаимодействия с ним, когда к нему подключен кабель питания P3, во время которого наблюдается включение-выключение.

      Что Мне делать?
    • KL FC Bot
      Как решить проблему нехватки кадров в кибербезопасности
      От KL FC Bot
      Дефицит квалифицированных кадров в индустрии информационной безопасности — проблема, мягко говоря, не новая. Однако в последние годы она встала особенно остро. Триггером тут послужила эпидемия коронавируса, из-за которой произошла стремительная цифровизация всего на свете и не менее стремительный рост количества атак. Из-за этого быстро растет и спрос на профессионалов в сфере кибербезопасности. А вот предложение за ним категорически не поспевает.
      Одна из ведущих организаций, занимающихся сертификацией специалистов в области ИБ, — ISC2 — публикует ежегодные отчеты о состоянии дел с трудовыми ресурсами в кибербезопасности. Согласно последнему отчету, за период с 2022 по 2023 год количество специалистов в ИБ выросло на 8,7%. Звучит вроде бы внушительно. Однако проблема в том, что дефицит таких специалистов за тот же период вырос аж на 12,6%. Таким образом, на момент публикации отчета общемировая нехватка кадров в индустрии кибербезопасности достигала 4 миллионов сотрудников. Почему же так происходит?
      Кибербезопасность в высшем образовании
      Чтобы получить ответ на этот вопрос, мы провели масштабное исследование, в ходе которого опросили более 1000 профессионалов в сфере ИТ и кибербезопасности из 29 стран мира. Мы опрашивали сотрудников разного уровня — от начинающих специалистов до директоров и руководителей SOC.
      В результате выяснилось несколько интересных фактов. В частности, далеко не все специалисты, работающие в данной сфере, изучали информационную безопасность в рамках своего высшего образования. Цифры разнятся по регионам, но в среднем соответствующие курсы были лишь у каждого второго. При этом большинство респондентов считает, что доступность специализированных курсов по информационной безопасности в рамках высшего образования недостаточна.
      Доступность специализированных курсов по кибербезопасности в учреждениях высшего образования респонденты оценили как недостаточную. Источник
      В целом полезность высшего образования для карьеры в информационной безопасности опрошенные оценили невысоко: лишь половина респондентов считает, что оно крайне полезно или очень полезно, четверть оценивает его полезность нейтрально, а еще четверть и вовсе полагает, что оно полностью бесполезно.
      Основная проблема формального образования в сфере кибербезопасности состоит в том, что оно категорически не успевает за теми изменениями, которые происходят в реальном мире. Технологии, инструменты и ландшафт угроз сейчас меняются настолько быстро, что за время обучения полученные в процессе знания успевают устареть.
       
      View the full article
    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Павел11
      [РЕШЕНО] heur.trojan.multi.genbadur.genw
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • dogmos
      [РЕШЕНО] HEUR:Trojan.Script.Generic
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
×
×
  • Создать...