Шифровальщик harma

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM-x32\...\RunOnce: [{6B1795D9-73FF-448B-8582-AAF9871CEC4D}] => C:\Windows\TEMP\{68841FE4-B58F-47C4-86A9-EA78B109209C}\{6B1795D9-73FF-448B-8582-AAF9871CEC4D}.cmd [ ] <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  Task: {22A05D0F-BC52-4626-ABA6-82E33F8A8ED2} - System32\Tasks\Driver Booster Scan => C:\Program Files (x86)\IObit\Driver Booster\Scheduler.exe
  Task: {2E6FE244-F304-4FDD-BFC4-86FFB5206B27} - System32\Tasks\AdobeUpdate => C:\Users\Экономист\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\Adobe\taskhost.exe <==== ATTENTION
  Task: {C20D5B0E-3354-40C5-B140-A4BC27753AC5} - System32\Tasks\Driver Booster SkipUAC (Администратор) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
  Task: {EC07FAAE-9380-4B7D-99C1-E0979CDE0D45} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe
  Task: {FBEFC3A9-6855-41A5-BDE4-CE32BFC226D2} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe
  BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll => No File
  BHO-x32: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll => No File
  Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll No File
  S4 DragonUpdater; C:\Program Files (x86)\Comodo\Dragon\dragon_updater.exe [X]
  S4 IceDragonUpdater; "C:\Program Files (x86)\Comodo\IceDragon\icedragon_updater.exe" [X]
  S2 SpyHunter 4 Service; C:\Program Files\SpyHunter\SH4Service.exe [X]
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  AlternateDataStreams: C:\Users\Настя\Local Settings:init [1254309]
  AlternateDataStreams: C:\Users\Настя\AppData\Local:init [1254309]
  MSCONFIG\startupreg: 1bitc.exe => C:\Windows\System32\1bitc.exe
  MSCONFIG\startupreg: C: => 
  MSCONFIG\startupreg: IseUI => C:\Program Files (x86)\COMODO\Internet Security Essentials\vkise.exe
  MSCONFIG\startupreg: MinerGateGui => C:\Program Files\MinerGate\minergate.exe --auto
  FirewallRules: [{B8968185-CFD6-4BC8-9FBF-8946E3EA3A33}] => (Allow) C:\Users\Администратор\AppData\Local\Orbitum\Application\OrbitumUpdater\OrbitumUpdater.exe No File
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[hook009]

прикрепляю fixlog. Еще не в эту тему наверное конечно,но все таки: еще есть 2 компа,которые только начали заражаться (шифроваться). Лечить в такой же последовательности?Я выдернул интернет и выключил пока.Может оттуда что нибудь получиться вытащить,Спасибо! дико извиняюсь что не в эту тему))

Fixlog.txt

[Sandor]

еще есть 2 компа

Для каждого создайте отдельную тему и соберите соответственно CollectionLog Автологером.

 

Здесь:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[hook009]

 

SecurityCheck.txt

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено

Учетная запись гостя включена. Пароль не установлен.

------------------------------- [ HotFix ] --------------------------------

HotFix KB3020369 Внимание! Скачать обновления

HotFix KB3125574 Внимание! Скачать обновления

HotFix KB4499164 Внимание! Скачать обновления

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft .NET Framework 4.5 v.4.5.50710 Внимание! Скачать обновления

Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

Microsoft Office Word 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

Microsoft Office Excel 2007 Help Обновление (KB963678) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

Microsoft Office Powerpoint 2007 Help Обновление (KB963669) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

Microsoft Office Outlook 2007 Help Обновление (KB963677) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

Microsoft Office Word 2007 Help Обновление (KB963665) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

Microsoft Office Proof (German) 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.

Microsoft Office Proof (English) 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.

Microsoft Office Proof (Russian) 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.

Microsoft Office Proof (Ukrainian) 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.

Microsoft Office Proofing (Russian) 2007 v.12.0.4518.1022 Данная программа больше не поддерживается разработчиком.

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.70 (64-разрядная) v.5.70.0 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

system v.1.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

 

 

Для снятия с последних двух программ атрибута "Скрыта", выполните:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  Google Toolbar for Internet Explorer (HKLM-x32\...\{18455581-E099-4BA8-BC6B-F34B2F06600C}) (Version: 1.0.0 - Google Inc.) Hidden
  system (HKLM-x32\...\{0DBF1533-CC9E-43B9-A78E-3C2469771026}) (Version: 1.0 - InstallAware Software Corporation) Hidden
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

После перезагрузки они будут видны в перечне установленных программ и сможете их деинсталлировать.

 

Читайте Рекомендации после удаления вредоносного ПО

[hook009]

не пускает в интернет.скачать обновления не дает лог прикрепил.

[hook009]

Выше инструкцию проделываю. файл FILES ENCRYPTED.txt заново создался от 05.08.2019г.  08-23

[Sandor]

Уточните - от пятого или от шестого августа?

[hook009]

первоначальный файл был от 03.08.2019 14-52, второй файл от 5 августа

FILES ENCRYPTED.txt

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addition.txt

[hook009]

Учетная запись гостя включена. Пароль не установлен. не могу туда зайти администрирование заражены ссылка

Microsoft .NET Framework 4.5 v.4.5.50710 Внимание! Скачать обновления не дает установить,ошибка установки

office и winrar удалил

system v.1.0  удалил. сейчас проверяет   Malwarebytes Anti-Malware обнаружено угроз 17

Malwarebytes AdwCleaner обнаружено угроз 5

все удалило

запустил frst, приложил логи

 

Addition.txt

FRST.txt

[Sandor]

AdwCleaner, версия 7.2.1 - это не оригинальная версия, удалите.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM-x32\...\RunOnce: [AvgRemover] => C:\Windows\System32\avgremoverx.exe [4146112 2019-08-05] (AVG Technologies CZ, s.r.o. -> AVG Technologies CZ, s.r.o.) [File not signed]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AdwCleaner.lnk [2019-08-06]
  Task: {474D2239-D6AF-40A2-B369-10EBDAC0F4F6} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
  Task: {E28FDE49-4D0C-4571-AB78-BF5706A7646B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
  Task: {E28FDE49-4D0C-4571-AB78-BF5706A7646B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\Adobe Flash Player Updater" /ENABLE
  Task: {E28FDE49-4D0C-4571-AB78-BF5706A7646B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\перезагрузка сервера" /ENABLE
  Task: {E28FDE49-4D0C-4571-AB78-BF5706A7646B} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
  2019-08-05 08:11 - 2019-08-05 08:11 - 000189176 _____ C:\Users\Экономист\Desktop\locker.exe.id-E214FFBD.[bitcoin1@foxmail.com].harma
  2019-08-05 08:11 - 2019-08-05 08:11 - 000189176 _____ C:\Users\Эдик\Desktop\locker.exe.id-E214FFBD.[bitcoin1@foxmail.com].harma
  2019-08-03 14:52 - 2019-08-05 08:23 - 000013925 _____ C:\Windows\system32\Info.hta
  2019-08-03 14:52 - 2019-08-05 08:23 - 000000174 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
  2019-08-03 14:52 - 2019-08-05 08:23 - 000000174 _____ C:\FILES ENCRYPTED.txt
  2019-08-03 14:52 - 2019-08-03 14:52 - 000000174 _____ C:\Users\Эдик\Desktop\FILES ENCRYPTED.txt
  2019-08-05 12:40 - 2015-03-28 11:39 - 000000000 ____D C:\Program Files (x86)\IObit
  2019-08-03 14:36 - 2015-03-28 11:39 - 000000000 ____D C:\Users\Все пользователи\ProductData
  2019-08-03 14:36 - 2015-03-28 11:39 - 000000000 ____D C:\Users\Администратор\AppData\LocalLow\IObit
  2019-08-03 14:36 - 2015-03-28 11:39 - 000000000 ____D C:\ProgramData\ProductData
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[hook009]

Прикрепил fixlog. еще есть у меня зашифрованный и расшифрованный файл, делали типа показательную dr-shifro,но они заооблачные деньги просят на мою контору.

Fixlog.txt

dt=Payment7.pdf

dt=Payment7.rar

[Sandor]

dr-shifro,но они заооблачные деньги просят

Мошенники по-другому и не поступают.

еще есть у меня зашифрованный и расшифрованный файл

Не поможет, увы.

[hook009]

мои следующие шаги после fixlog.txt????