Anton2020 0 Опубликовано 24 февраля, 2020 Share Опубликовано 24 февраля, 2020 Поймали вирус-шифровальщик который переименовывает файлы с расширением ncov CollectionLog-2020.02.24-17.03.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 февраля, 2020 Share Опубликовано 24 февраля, 2020 Логи сделаны устаревшей версией Autologger. Скачайте актуальную по ссылке в правилах и переделывайте. Ссылка на сообщение Поделиться на другие сайты
Anton2020 0 Опубликовано 24 февраля, 2020 Автор Share Опубликовано 24 февраля, 2020 переделали CollectionLog-2020.02.24-17.59.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 февраля, 2020 Share Опубликовано 24 февраля, 2020 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Anton2020 0 Опубликовано 24 февраля, 2020 Автор Share Опубликовано 24 февраля, 2020 Сделали 188.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 25 февраля, 2020 Share Опубликовано 25 февраля, 2020 Активного вируса уже не видно. Именно этот сервер стал причиной проблем. Попали к Вам, сбрутив пароль от RDP. Пароль от RDP смените на более сложный. Будет только зачистка мусора. С расшифровкой помочь не сможем. 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [7214 2020-02-23] () [File not signed] HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Администратор\AppData\Roaming\Info.hta" Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-23] () [File not signed] Startup: C:\Users\robot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-22] () [File not signed] Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-02-23] () [File not signed] 2020-02-23 22:27 - 2020-02-23 22:33 - 000007214 _____ C:\Windows\system32\Info.hta 2020-02-23 22:18 - 2020-02-23 22:33 - 000000214 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt C:\Users\Администратор\AppData\Roaming\Info.hta C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta C:\Users\robot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta 2020-02-22 22:29 - 2020-02-23 22:33 - 000000214 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 2020-02-22 22:29 - 2020-02-23 22:33 - 000000214 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2020-02-22 22:29 - 2020-02-23 22:33 - 000000214 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 2020-02-22 22:29 - 2020-02-23 22:33 - 000000214 _____ C:\FILES ENCRYPTED.txt 2020-02-22 22:29 - 2020-02-22 22:29 - 000000214 _____ C:\Users\robot\Desktop\FILES ENCRYPTED.txt End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта. Ссылка на сообщение Поделиться на другие сайты
Anton2020 0 Опубликовано 25 февраля, 2020 Автор Share Опубликовано 25 февраля, 2020 вот Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 25 февраля, 2020 Share Опубликовано 25 февраля, 2020 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Anton2020 0 Опубликовано 23 марта, 2020 Автор Share Опубликовано 23 марта, 2020 ВНИМАНИЕ! Хочу уберечь всех от выплаты денег вымогателям-шифровальщикам вируса NCOV (коронавируса). Адрес электронной почты ncov2020@aol.com. После оплаты денег, дешифратор так и не получил. Увещевания, просьбы, угрозы результатов не дали. НЕ ПЛАТИТЕ НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ, ПОТРАТИТЕ БОЛЬШИЕ ДЕНЬГИ, НО СВОИ ФАЙЛЫ НЕ ВЕРНЕТЕ. 1 Ссылка на сообщение Поделиться на другие сайты
Alexander Kartashov 0 Опубликовано 31 марта, 2020 Share Опубликовано 31 марта, 2020 (изменено) Приложил Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.3. Нажмите кнопку Scan.4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Прикрепил https://drive.google.com/open?id=12as5c6UlBq9vS3x7wujidp1UbrQp-FNo Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Цитирую: SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 31.03.2020 13:58:09 Path starting: C:\Users\adm\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: adm VersionXML: 7.36is-30.03.2020 ___________________________________________________________________________ Windows 10(6.3.18363) (x64) Professional Версия: 1909 Lang: Russian(0419) Дата установки ОС: 06.03.2020 22:59:48 Статус лицензии: Windows®, Professional edition Windows находится в режиме уведомления Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок окончания начального льготного периода: 8163 мин. Режим загрузки: Normal Браузер по умолчанию: Internet Explorer (C:\Program Files\Internet Explorer\iexplore.exe) Системный диск: C: ФС: [NTFS] Емкость: [111.2 Гб] Занято: [70.9 Гб] Свободно: [40.3 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.719.18362.0 Контроль учётных записей пользователя включен (Уровень 3) Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба работает Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена Восстановление системы отключено ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2016 x64 v.16.0.4266.1001 ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (включен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и обновлен) --------------------------- [ OtherUtilities ] ---------------------------- Foxit Reader v.9.0.0.29935 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ K-Lite Mega Codec Pack 14.7.5 v.14.7.5 Внимание! Скачать обновления -------------------------------- [ Arch ] --------------------------------- WinRAR 4.10 (64-разрядная) v.4.10.0 Внимание! Скачать обновления --------------------------------- [ SPY ] --------------------------------- UltraVnc v.1.2.2.4 Внимание! Программа удаленного доступа! ------------------------------- [ Browser ] ------------------------------- Google Chrome v.80.0.3987.149 ------------------ [ AntivirusFirewallProcessServices ] ------------------- C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2003.8-0\MsMpEng.exe v.4.18.2003.8 C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2003.8-0\NisSrv.exe v.4.18.2003.8 Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает ---------------------------- [ UnwantedApps ] ----------------------------- SpyHunter 5 v.5.8.10.170 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. SpyHunter 5 Kernel Monitor (ShMonitor) - Служба работает C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe v.5.8.10.170 C:\Program Files\EnigmaSoft\SpyHunter\SpyHunter5.exe v.5.8.10.170 C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe v.5.8.10.170 ----------------------------- [ End of Log ] ------------------------------ Изменено 31 марта, 2020 пользователем Alexander Kartashov Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 31 марта, 2020 Share Опубликовано 31 марта, 2020 @Alexander Kartashov, здравствуйте! Соблюдайте правила раздела и не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 31 марта, 2020 Share Опубликовано 31 марта, 2020 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения