Тоже словил dalneken@tutanota.de

19 марта, 2020

Доброго времени!

17 марта утром прошло шифрование файлов.

Kaspersky Virus Removal Tool ничего не нашел.

Логи Farbar Recovery Scan Tool, подпись шифратора и зашифрованный файл прилагаю

19 марта, 2020

Здравствуйте!

К сожалению, результат тот же, CryptConsole 3 и расшифровки нет.

Система под переустановку или будем чистить?

19 марта, 2020

рискну почистить, ради опыта

19 марта, 2020

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

RDP Wrapper Library

WinZip 24.0

Об установленных программах удаленного доступа Radmin, Remote Viewer, TeamViewer вам известно? Если нет, тоже удалите.

Затем

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {08c409d4-f4e0-11e7-a293-408d5cca77c2} - еЌЋдёєж‰‹жњєеЉ©ж‰‹е®‰иЈ…еђ‘еЇј.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {1a04b8c5-9d05-11e7-9448-408d5cca77c2} - F:\startme.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {6ac415c0-7592-11e7-b38f-806e6f6e6963} - E:\SETUP.EXE
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {889f5e9e-35cb-11ea-acc6-408d5cca77c2} - E:\SISetup.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {aeba33f8-1474-11e8-a917-408d5cca77c2} - еЌЋдёєж‰‹жњєеЉ©ж‰‹е®‰иЈ…еђ‘еЇј.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2043b0-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2043c0-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec204416-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2049c2-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2049d2-57f3-11e8-a340-408d5cca77c2} - F:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ec2049e5-57f3-11e8-a340-408d5cca77c2} - G:\AutoRun.exe
HKU\S-1-5-21-3220741705-1562663274-2859019532-1000\...\MountPoints2: {ee05fe3e-b7b9-11e8-a50b-408d5cca77c2} - F:\Setup.exe
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Readme.txt [2020-03-17] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
S3 TermService; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL)
S3 TermService; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL) <==== ATTENTION (no ServiceDLL)
2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\Roaming\Readme.txt
2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Readme.txt
2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Readme.txt
2020-03-17 07:41 - 2020-03-17 07:41 - 000000177 _____ C:\Users\user\AppData\LocalLow\Readme.txt
2020-03-17 07:36 - 2020-03-17 07:36 - 000000177 _____ C:\Users\user\Readme.txt
2020-03-17 07:36 - 2020-03-17 07:36 - 000000177 _____ C:\Users\user\AppData\Readme.txt
2020-03-17 07:35 - 2020-03-17 07:35 - 000000177 _____ C:\Users\Public\Readme.txt
2020-03-17 07:34 - 2020-03-17 07:34 - 000000177 _____ C:\Users\Все пользователи\Readme.txt
2020-03-17 07:34 - 2020-03-17 07:34 - 000000177 _____ C:\ProgramData\Readme.txt
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [406]
AlternateDataStreams: C:\ProgramData\TEMP:79EA65FB [350]
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

20 марта, 2020

Удалить все RDP'шные проги пока не удалось (нет деинсталляторов) вернусь к этому в понедельник. пока фиксанул так.

Fixlog.txt

23 марта, 2020

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Тоже словил dalneken@tutanota.de

Рекомендуемые сообщения

CandyA

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

CandyA

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

CandyA

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum