azkickr 0 Опубликовано 13 ноября, 2019 Share Опубликовано 13 ноября, 2019 Доброго времени суток, поймали шифровальщик HARMA. Файлы имеют следующее окончание: [maximum@onlinehelp.host ].harma Компьютер вовремя остановили, файлы не интересуют. Помогите, пожалуйста, найти тело вируса, логи из FRST и Autologger прилагаю. Addition.txt FRST.txt Shortcut.txt CollectionLog-2019.11.13-19.47.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 13 ноября, 2019 Share Опубликовано 13 ноября, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: Startup: C:\Users\TEST\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1svhostru.exe [2019-11-13] () [File not signed] 2019-11-13 14:38 - 2019-11-13 14:38 - 000094720 _____ C:\Users\TEST\AppData\Roaming\1svhostru.exe 2019-11-13 14:37 - 2019-11-13 13:41 - 000094720 _____ C:\Users\TEST\Desktop\1svhostru.exe End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта. 1 1 Ссылка на сообщение Поделиться на другие сайты
azkickr 0 Опубликовано 14 ноября, 2019 Автор Share Опубликовано 14 ноября, 2019 (изменено) Прикрепляю лог. У данного пользователя из лога был найден файл 1svhostru.exe в результате поиска через farbar, удалил его вручную, но сомнения все-таки возникли, что это не с этого юзера все началось Fixlog.txt Изменено 14 ноября, 2019 пользователем azkickr Ссылка на сообщение Поделиться на другие сайты
azkickr 0 Опубликовано 14 ноября, 2019 Автор Share Опубликовано 14 ноября, 2019 В общем, вирус снова сработал, теперь уже под пользователем test1 появился файл 1svhostru.exe. Если вдруг чем-нибудь пригодится, то прикрепляю его к сообщению. 1svhostru.7z Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти