crysis [РЕШЕНО] ncov коронавирус

24 февраля, 2020

Поймали вирус-шифровальщик который переименовывает файлы с расширением ncov

CollectionLog-2020.02.24-17.03.zip

24 февраля, 2020

Логи сделаны устаревшей версией Autologger. Скачайте актуальную по ссылке в правилах и переделывайте.

24 февраля, 2020

переделали

CollectionLog-2020.02.24-17.59.zip

24 февраля, 2020

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

24 февраля, 2020

Сделали

188.rar

25 февраля, 2020

Активного вируса уже не видно. Именно этот сервер стал причиной проблем. Попали к Вам, сбрутив пароль от RDP.

Пароль от RDP смените на более сложный.

Будет только зачистка мусора. С расшифровкой помочь не сможем.

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [7214 2020-02-23] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Администратор\AppData\Roaming\Info.hta"
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-23] () [File not signed]
Startup: C:\Users\robot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-22] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-23] () [File not signed]
2020-02-23 22:27 - 2020-02-23 22:33 - 000007214 _____ C:\Windows\system32\Info.hta
2020-02-23 22:18 - 2020-02-23 22:33 - 000000214 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
C:\Users\Администратор\AppData\Roaming\Info.hta
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\robot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
2020-02-22 22:29 - 2020-02-23 22:33 - 000000214 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-02-22 22:29 - 2020-02-23 22:33 - 000000214 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-02-22 22:29 - 2020-02-23 22:33 - 000000214 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-02-22 22:29 - 2020-02-23 22:33 - 000000214 _____ C:\FILES ENCRYPTED.txt
2020-02-22 22:29 - 2020-02-22 22:29 - 000000214 _____ C:\Users\robot\Desktop\FILES ENCRYPTED.txt
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

25 февраля, 2020

вот

Fixlog.txt

25 февраля, 2020

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Процитируйте содержимое файла в своем следующем сообщении.

23 марта, 2020

ВНИМАНИЕ! Хочу уберечь всех от выплаты денег вымогателям-шифровальщикам вируса NCOV (коронавируса). Адрес электронной почты ncov2020@aol.com. После оплаты денег, дешифратор так и не получил. Увещевания, просьбы, угрозы результатов не дали. НЕ ПЛАТИТЕ НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ, ПОТРАТИТЕ БОЛЬШИЕ ДЕНЬГИ, НО СВОИ ФАЙЛЫ НЕ ВЕРНЕТЕ.

31 марта, 2020

Приложил

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Прикрепил

https://drive.google.com/open?id=12as5c6UlBq9vS3x7wujidp1UbrQp-FNo

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);

Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;

Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;

Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;

Процитируйте содержимое файла в своем следующем сообщении.

Цитирую:

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 31.03.2020 13:58:09

Path starting: C:\Users\adm\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: adm

VersionXML: 7.36is-30.03.2020

___________________________________________________________________________

Windows 10(6.3.18363) (x64) Professional Версия: 1909 Lang: Russian(0419)

Дата установки ОС: 06.03.2020 22:59:48

Статус лицензии: Windows®, Professional edition Windows находится в режиме уведомления

Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок окончания начального льготного периода: 8163 мин.

Режим загрузки: Normal

Браузер по умолчанию: Internet Explorer (C:\Program Files\Internet Explorer\iexplore.exe)

Системный диск: C: ФС: [NTFS] Емкость: [111.2 Гб] Занято: [70.9 Гб] Свободно: [40.3 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.719.18362.0

Контроль учётных записей пользователя включен (Уровень 3)

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба работает

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

Восстановление системы отключено

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2016 x64 v.16.0.4266.1001

---------------------------- [ Antivirus_WMI ] ----------------------------

Windows Defender (включен и обновлен)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Защитника Windows (mpssvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (включен и обновлен)

--------------------------- [ OtherUtilities ] ----------------------------

Foxit Reader v.9.0.0.29935 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

K-Lite Mega Codec Pack 14.7.5 v.14.7.5 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

WinRAR 4.10 (64-разрядная) v.4.10.0 Внимание! Скачать обновления

--------------------------------- [ SPY ] ---------------------------------

UltraVnc v.1.2.2.4 Внимание! Программа удаленного доступа!

------------------------------- [ Browser ] -------------------------------

Google Chrome v.80.0.3987.149

------------------ [ AntivirusFirewallProcessServices ] -------------------

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2003.8-0\MsMpEng.exe v.4.18.2003.8

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2003.8-0\NisSrv.exe v.4.18.2003.8

Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает

---------------------------- [ UnwantedApps ] -----------------------------

SpyHunter 5 v.5.8.10.170 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.

SpyHunter 5 Kernel Monitor (ShMonitor) - Служба работает

C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe v.5.8.10.170

C:\Program Files\EnigmaSoft\SpyHunter\SpyHunter5.exe v.5.8.10.170

C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe v.5.8.10.170

----------------------------- [ End of Log ] ------------------------------

Изменено 31 марта, 2020 пользователем Alexander Kartashov

31 марта, 2020

@Alexander Kartashov, здравствуйте!

Соблюдайте правила раздела и не пишите в чужой теме.

Создайте свою и выполните Порядок оформления запроса о помощи

31 марта, 2020

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

crysis [РЕШЕНО] ncov коронавирус

Рекомендуемые сообщения

Anton2020

thyrex

Anton2020

thyrex

Anton2020

thyrex

Anton2020

thyrex

Anton2020

Alexander Kartashov

Sandor

thyrex

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum