Перейти к содержанию

Вирус-шифровальщик HARMA

azkickr
 Share

Рекомендуемые сообщения

azkickr Новичок

azkickr

Опубликовано
Опубликовано

Доброго времени суток, поймали шифровальщик HARMA. 

Файлы имеют следующее окончание: [maximum@onlinehelp.host ].harma

Компьютер вовремя остановили, файлы не интересуют. Помогите, пожалуйста, найти тело вируса, логи из FRST и Autologger прилагаю.

 

Addition.txt

FRST.txt

Shortcut.txt

CollectionLog-2019.11.13-19.47.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\Users\TEST\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1svhostru.exe [2019-11-13] () [File not signed]
2019-11-13 14:38 - 2019-11-13 14:38 - 000094720 _____ C:\Users\TEST\AppData\Roaming\1svhostru.exe
2019-11-13 14:37 - 2019-11-13 13:41 - 000094720 _____ C:\Users\TEST\Desktop\1svhostru.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
azkickr Новичок

azkickr

Опубликовано
  • Автор
Опубликовано (изменено)

Прикрепляю лог.

У данного пользователя из лога был найден файл 1svhostru.exe в результате поиска через farbar, удалил его вручную, но сомнения все-таки возникли, что это не с этого юзера все началось

Fixlog.txt

Изменено пользователем azkickr
Ссылка на комментарий
Поделиться на другие сайты
azkickr Новичок

azkickr

Опубликовано
  • Автор
Опубликовано

В общем, вирус снова сработал, теперь уже под пользователем test1 появился файл 1svhostru.exe.

Если вдруг чем-нибудь пригодится, то прикрепляю его к сообщению.

1svhostru.7z

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Сергей194
      Вирус шифровальщик, нет доступа к базе 1с
      От Сергей194
      Здравствуйте. Поймали шифровальщик, база 1с недоступна. работа предприятия заблокирована. Выручайте!
      Desktop.rar
    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Dmitryplss
      Вирус шифровальщик заменил расширения на Elpaco-team
      От Dmitryplss
      Добрый вечер, столкнулись с заразой в виде щифровальщика от Elpaco-team, по итогу защифрованны все файлы, нет доступа к базам 1С, в локальной сети так же зашифрованные файлы
      File.rar Addition.txt FRST.txt
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...