IZERLI87 0 Опубликовано 29 мая, 2019 Share Опубликовано 29 мая, 2019 Словил шифровальщик WESKER на двух компах,были в сети.На одном вообще парализовало работу-не работает практически ни одна программа,файлы зашифрованы,на втором-зашифровало половину файлов. Прикладываю логи с первого компа. CollectionLog-2019.05.29-14.11.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 29 мая, 2019 Share Опубликовано 29 мая, 2019 Здравствуйте! Пару небольших зашифрованных файлов вместе с одним из файлов с именем !!!INSTRUCTION_RNSMW!!!.txtупакуйте в архив и прикрепите к следующему сообщению. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
IZERLI87 0 Опубликовано 29 мая, 2019 Автор Share Опубликовано 29 мая, 2019 Сделано !!!INSTRUCTION_RNSMW!!!.rar Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 29 мая, 2019 Share Опубликовано 29 мая, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM-x32\...\RunOnce: [{6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}] => cmd.exe /C start /D "C:\Users\2BA0~1\AppData\Local\Temp" /B {6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}.cmd Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Смените пароль на RDP, взлом произошел позавчера в 03:41. Ссылка на сообщение Поделиться на другие сайты
IZERLI87 0 Опубликовано 29 мая, 2019 Автор Share Опубликовано 29 мая, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM-x32\...\RunOnce: [{6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}] => cmd.exe /C start /D "C:\Users\2BA0~1\AppData\Local\Temp" /B {6B4004D7-66F1-4FD4-B1E9-29A4DE8F13A8}.cmd Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Startup: C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!!INSTRUCTION_RNSMW!!!.txt [2019-05-27] () [File not signed] Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Смените пароль на RDP, взлом произошел позавчера в 03:41. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 29 мая, 2019 Share Опубликовано 29 мая, 2019 Вымогатель относительно новый и пока в стадии изучения. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
IZERLI87 0 Опубликовано 29 мая, 2019 Автор Share Опубликовано 29 мая, 2019 Вымогатель относительно новый и пока в стадии изучения. При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Лицензия Касперского есть.Запрос на расшифровку отправил SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 285 Опубликовано 29 мая, 2019 Share Опубликовано 29 мая, 2019 -------------------------------- [ Arch ] --------------------------------- WinRAR 4.00 (64-разрядная) v.4.00.0 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader 9.3 - Russian v.9.3.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC. ---------------------------- [ UnwantedApps ] ----------------------------- Голосовой помощник Алиса v.4.2.5.1781 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти