Шифровальщик harma 3-й ПК

[hook009]

Добрый день. Вирус вымогатель защифровал данные, файлы с расширением harma. Стоял лицензионный антивирус Kaspersky internet security. Атака шифрования 03 августа 2019г в районе 2 часов дня.KVRT и cureit не дает запустить. Снял autologger отчет, прилагаю. есть encrypted.txt,почтовый ящик для переписки bitcoin1@foxmail.com

 

 

CollectionLog-2019.08.06-14.29.zip

[Sandor]

Сообщите, пожалуйста, здесь повтор или это третий компьютер?

[hook009]

это третий комп,Спасибо!думал сам написать,раз ответа не было)))

[Sandor]

MinerGate ставили самостоятельно?

+

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[hook009]

minergate ставил самостоятельно. 

FRST.txt Addition.txt

FRST.txt

Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  Task: {57BAF2DC-C9B3-4AAA-B603-A4C4686A17E2} - System32\Tasks\Driver Booster SkipUAC (server fail) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
  CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  FirewallRules: [{0DAD2E28-0522-42A4-A31A-727F0747340D}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe No File
  FirewallRules: [{6C7E9334-515E-415B-A670-707DE17B8A0F}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe No File
  FirewallRules: [{8CF53C2E-91AB-42AB-9F9A-B19040D50862}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe No File
  FirewallRules: [{C087D77D-21BB-4131-8D25-B8B371F6D90A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe No File
  FirewallRules: [{E6D24F9F-37DF-480E-A578-95CA67DB4356}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe No File
  FirewallRules: [{2C7F1DC2-4B65-4B3F-95F1-747810B7EAF9}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe No File
  FirewallRules: [{007FA406-270E-47CF-91FB-99A2F42B61FC}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe No File
  FirewallRules: [{5C9CF741-C410-4D33-953A-B509DD36FB34}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe No File
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[hook009]

 

Fixlog.txt

Fixlog.txt

[Sandor]

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[hook009]

 

SecurityCheck.txt

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено

Учетная запись гостя включена. Пароль не установлен.

------------------------------- [ HotFix ] --------------------------------

HotFix KB3020369 Внимание! Скачать обновления

HotFix KB3125574 Внимание! Скачать обновления

HotFix KB4499164 Внимание! Скачать обновления

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

Oracle VM VirtualBox 5.2.22 v.5.2.22 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления

WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления

--------------------------------- [ SPY ] ---------------------------------

Radmin Server 3.4 v.3.40.0000 Внимание! Программа удаленного доступа!

Radmin Viewer 3.4 v.3.40.0000 Внимание! Программа удаленного доступа!

LanAgent Agent v.5.3.5 << Скрыта Внимание! Программа-шпион! Возможна утечка конфиденциальных данных.

---------------------------- [ UnwantedApps ] -----------------------------

system v.1.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

 

Рекомендации после удаления вредоносного ПО

[hook009]

На этом Все,больше ничего не получиться?

[Sandor]

В первой теме я вам уже говорил:

Хочу предупредить, что расшифровки этой версии вымогателя нет. Мы чистим активное заражение и его следы.

На всякий случай, при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[hook009]

Создал запрос на касперский

INC000010682491

[Sandor]

Результат сообщите здесь, пожалуйста.