Перейти к содержанию

Вирус-шифровальщик HARMA

azkickr
 Поделиться

Рекомендуемые сообщения

azkickr Новичок

azkickr

Опубликовано
Опубликовано

Доброго времени суток, поймали шифровальщик HARMA. 

Файлы имеют следующее окончание: [maximum@onlinehelp.host ].harma

Компьютер вовремя остановили, файлы не интересуют. Помогите, пожалуйста, найти тело вируса, логи из FRST и Autologger прилагаю.

 

Addition.txt

FRST.txt

Shortcut.txt

CollectionLog-2019.11.13-19.47.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\Users\TEST\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1svhostru.exe [2019-11-13] () [File not signed]
2019-11-13 14:38 - 2019-11-13 14:38 - 000094720 _____ C:\Users\TEST\AppData\Roaming\1svhostru.exe
2019-11-13 14:37 - 2019-11-13 13:41 - 000094720 _____ C:\Users\TEST\Desktop\1svhostru.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
azkickr Новичок

azkickr

Опубликовано
  • Автор
Опубликовано (изменено)

Прикрепляю лог.

У данного пользователя из лога был найден файл 1svhostru.exe в результате поиска через farbar, удалил его вручную, но сомнения все-таки возникли, что это не с этого юзера все началось

Fixlog.txt

Изменено пользователем azkickr
Ссылка на комментарий
Поделиться на другие сайты
azkickr Новичок

azkickr

Опубликовано
  • Автор
Опубликовано

В общем, вирус снова сработал, теперь уже под пользователем test1 появился файл 1svhostru.exe.

Если вдруг чем-нибудь пригодится, то прикрепляю его к сообщению.

1svhostru.7z

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • AlexYarm
      Вирус-шифровальщик Hardbit4
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • Aleksandr Korolev
      Вирус шифровальщик ContiCrypt.MFP!MTB
      Автор Aleksandr Korolev
      Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt
    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • escadron
      Вирус-шифровальщик из далекого 2015 года
      Автор escadron
      В далеком 2015 году скачал какую-то фигню на комп, потерял практически все фотографии и видео. Получил от матери по шапке и благополучно об этом забыл.
      Сейчас же внезапно захотелось восстановить файлы, если, конечно, это возможно.
      Из-за ограничений формата прикрепляемых файлов не могу предоставить пример зашифрованных данных.
      Файл с почтой/другой информацией (README**.txt) либо был утерян, либо же вообще не появлялся на компьютере.
      Надеюсь, знатоки смогут помочь.
×
×
  • Создать...