crysis Вирус-шифровальщик HARMA

[azkickr]

Доброго времени суток, поймали шифровальщик HARMA. 

Файлы имеют следующее окончание: [maximum@onlinehelp.host ].harma

Компьютер вовремя остановили, файлы не интересуют. Помогите, пожалуйста, найти тело вируса, логи из FRST и Autologger прилагаю.

 

Addition.txt

FRST.txt

Shortcut.txt

CollectionLog-2019.11.13-19.47.zip

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\Users\TEST\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1svhostru.exe [2019-11-13] () [File not signed]
2019-11-13 14:38 - 2019-11-13 14:38 - 000094720 _____ C:\Users\TEST\AppData\Roaming\1svhostru.exe
2019-11-13 14:37 - 2019-11-13 13:41 - 000094720 _____ C:\Users\TEST\Desktop\1svhostru.exe
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

[azkickr]

Прикрепляю лог.

У данного пользователя из лога был найден файл 1svhostru.exe в результате поиска через farbar, удалил его вручную, но сомнения все-таки возникли, что это не с этого юзера все началось

Fixlog.txt

Изменено 14 ноября, 2019 пользователем azkickr

[azkickr]

В общем, вирус снова сработал, теперь уже под пользователем test1 появился файл 1svhostru.exe.

Если вдруг чем-нибудь пригодится, то прикрепляю его к сообщению.

1svhostru.7z