IZERLI87 0 Опубликовано 29 мая, 2019 Share Опубликовано 29 мая, 2019 Словил шифровальщик WESKER на двух компах,были в сети.На одном вообще парализовало работу-не работает практически ни одна программа,файлы зашифрованы,на втором-зашифровало половину файлов. Прикладываю логи с первого компа. CollectionLog-2019.05.29-14.11.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 29 мая, 2019 Share Опубликовано 29 мая, 2019 Здравствуйте! Пару небольших зашифрованных файлов вместе с одним из файлов с именем !!!INSTRUCTION_RNSMW!!!.txtупакуйте в архив и прикрепите к следующему сообщению. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
IZERLI87 0 Опубликовано 29 мая, 2019 Автор Share Опубликовано 29 мая, 2019 Сделано !!!INSTRUCTION_RNSMW!!!.rar Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 29 мая, 2019 Share Опубликовано 29 мая, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM-x32\...\RunOnce: [{6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}] => cmd.exe /C start /D "C:\Users\2BA0~1\AppData\Local\Temp" /B {6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}.cmd Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Смените пароль на RDP, взлом произошел позавчера в 03:41. Цитата Ссылка на сообщение Поделиться на другие сайты
IZERLI87 0 Опубликовано 29 мая, 2019 Автор Share Опубликовано 29 мая, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM-x32\...\RunOnce: [{6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}] => cmd.exe /C start /D "C:\Users\2BA0~1\AppData\Local\Temp" /B {6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}.cmd Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Смените пароль на RDP, взлом произошел позавчера в 03:41. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 29 мая, 2019 Share Опубликовано 29 мая, 2019 Вымогатель относительно новый и пока в стадии изучения. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
IZERLI87 0 Опубликовано 29 мая, 2019 Автор Share Опубликовано 29 мая, 2019 Вымогатель относительно новый и пока в стадии изучения. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Лицензия Касперского есть.Запрос на расшифровку отправил SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 29 мая, 2019 Share Опубликовано 29 мая, 2019 -------------------------------- [ Arch ] --------------------------------- WinRAR 4.00 (64-разрядная) v.4.00.0 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader 9.3 - Russian v.9.3.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC. ---------------------------- [ UnwantedApps ] ----------------------------- Голосовой помощник Алиса v.4.2.5.1781 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.