hook009 0 Опубликовано 6 августа, 2019 Share Опубликовано 6 августа, 2019 Добрый день. Вирус вымогатель защифровал данные, файлы с расширением harma. Стоял лицензионный антивирус Kaspersky internet security. Атака шифрования 03 августа 2019г в районе 2 часов дня.KVRT и cureit не дает запустить. Снял autologger отчет, прилагаю. есть encrypted.txt,почтовый ящик для переписки bitcoin1@foxmail.com CollectionLog-2019.08.06-14.29.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 6 августа, 2019 Share Опубликовано 6 августа, 2019 Сообщите, пожалуйста, здесь повтор или это третий компьютер? Ссылка на сообщение Поделиться на другие сайты
hook009 0 Опубликовано 6 августа, 2019 Автор Share Опубликовано 6 августа, 2019 это третий комп,Спасибо!думал сам написать,раз ответа не было))) Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 6 августа, 2019 Share Опубликовано 6 августа, 2019 MinerGate ставили самостоятельно? + Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
hook009 0 Опубликовано 6 августа, 2019 Автор Share Опубликовано 6 августа, 2019 minergate ставил самостоятельно. FRST.txt Addition.txtFRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 6 августа, 2019 Share Опубликовано 6 августа, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: Task: {57BAF2DC-C9B3-4AAA-B603-A4C4686A17E2} - System32\Tasks\Driver Booster SkipUAC (server fail) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File FirewallRules: [{0DAD2E28-0522-42A4-A31A-727F0747340D}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe No File FirewallRules: [{6C7E9334-515E-415B-A670-707DE17B8A0F}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe No File FirewallRules: [{8CF53C2E-91AB-42AB-9F9A-B19040D50862}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe No File FirewallRules: [{C087D77D-21BB-4131-8D25-B8B371F6D90A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe No File FirewallRules: [{E6D24F9F-37DF-480E-A578-95CA67DB4356}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe No File FirewallRules: [{2C7F1DC2-4B65-4B3F-95F1-747810B7EAF9}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe No File FirewallRules: [{007FA406-270E-47CF-91FB-99A2F42B61FC}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe No File FirewallRules: [{5C9CF741-C410-4D33-953A-B509DD36FB34}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe No File Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
hook009 0 Опубликовано 7 августа, 2019 Автор Share Опубликовано 7 августа, 2019 Fixlog.txt Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 7 августа, 2019 Share Опубликовано 7 августа, 2019 Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
hook009 0 Опубликовано 7 августа, 2019 Автор Share Опубликовано 7 августа, 2019 SecurityCheck.txt SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 7 августа, 2019 Share Опубликовано 7 августа, 2019 ------------------------------- [ Windows ] ------------------------------- Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Автоматическое обновление отключено Учетная запись гостя включена. Пароль не установлен. ------------------------------- [ HotFix ] -------------------------------- HotFix KB3020369 Внимание! Скачать обновления HotFix KB3125574 Внимание! Скачать обновления HotFix KB4499164 Внимание! Скачать обновления --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- Oracle VM VirtualBox 5.2.22 v.5.2.22 Внимание! Скачать обновления -------------------------------- [ Arch ] --------------------------------- WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления --------------------------------- [ SPY ] --------------------------------- Radmin Server 3.4 v.3.40.0000 Внимание! Программа удаленного доступа! Radmin Viewer 3.4 v.3.40.0000 Внимание! Программа удаленного доступа! LanAgent Agent v.5.3.5 << Скрыта Внимание! Программа-шпион! Возможна утечка конфиденциальных данных. ---------------------------- [ UnwantedApps ] ----------------------------- system v.1.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
hook009 0 Опубликовано 7 августа, 2019 Автор Share Опубликовано 7 августа, 2019 На этом Все,больше ничего не получиться? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 7 августа, 2019 Share Опубликовано 7 августа, 2019 В первой теме я вам уже говорил: Хочу предупредить, что расшифровки этой версии вымогателя нет. Мы чистим активное заражение и его следы. На всякий случай, при наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Ссылка на сообщение Поделиться на другие сайты
hook009 0 Опубликовано 8 августа, 2019 Автор Share Опубликовано 8 августа, 2019 Создал запрос на касперский INC000010682491 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 8 августа, 2019 Share Опубликовано 8 августа, 2019 Результат сообщите здесь, пожалуйста. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти