Перейти к содержанию
Авторизация  
azkickr

Вирус-шифровальщик HARMA

Рекомендуемые сообщения

Доброго времени суток, поймали шифровальщик HARMA. 

Файлы имеют следующее окончание: [maximum@onlinehelp.host ].harma

Компьютер вовремя остановили, файлы не интересуют. Помогите, пожалуйста, найти тело вируса, логи из FRST и Autologger прилагаю.

 

Addition.txt

FRST.txt

Shortcut.txt

CollectionLog-2019.11.13-19.47.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\Users\TEST\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1svhostru.exe [2019-11-13] () [File not signed]
2019-11-13 14:38 - 2019-11-13 14:38 - 000094720 _____ C:\Users\TEST\AppData\Roaming\1svhostru.exe
2019-11-13 14:37 - 2019-11-13 13:41 - 000094720 _____ C:\Users\TEST\Desktop\1svhostru.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Прикрепляю лог.

У данного пользователя из лога был найден файл 1svhostru.exe в результате поиска через farbar, удалил его вручную, но сомнения все-таки возникли, что это не с этого юзера все началось

Fixlog.txt

Изменено пользователем azkickr

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В общем, вирус снова сработал, теперь уже под пользователем test1 появился файл 1svhostru.exe.

Если вдруг чем-нибудь пригодится, то прикрепляю его к сообщению.

1svhostru.7z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.