Ivan_ykt 0 Опубликовано 1 апреля, 2020 Share Опубликовано 1 апреля, 2020 Помогите. Поймали шифровальшик по RDP. Логи и зашифрованные файлы в архиве, пароль к архиву virus файлы virus.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 1 апреля, 2020 Share Опубликовано 1 апреля, 2020 Перечитайте правила и пришлите нужные логи. https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Ссылка на сообщение Поделиться на другие сайты
Ivan_ykt 0 Опубликовано 2 апреля, 2020 Автор Share Опубликовано 2 апреля, 2020 вот собрал логи по инструкции CollectionLog-2020.04.02-15.34.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 2 апреля, 2020 Share Опубликовано 2 апреля, 2020 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Ivan_ykt 0 Опубликовано 4 апреля, 2020 Автор Share Опубликовано 4 апреля, 2020 вот сделал FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 5 апреля, 2020 Share Опубликовано 5 апреля, 2020 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKLM\...\Run: [C:\Users\ARM-KPP\AppData\Roaming\Info.hta] => C:\Users\ARM-KPP\AppData\Roaming\Info.hta [13913 2020-03-31] () [File not signed] HKU\S-1-5-21-21301457-125376633-3329290730-1000\...\MountPoints2: {11bd2e66-4f2f-11e8-97f9-fcaa1455a024} - G:\BELOFF.exe Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-31] () [File not signed] Startup: C:\Users\ARM-KPP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-31] () [File not signed] 2020-03-31 19:31 - 2020-03-31 19:31 - 000013913 _____ C:\windows\system32\Info.hta 2020-03-31 19:31 - 2020-03-31 19:31 - 000013913 _____ C:\Users\ARM-KPP\AppData\Roaming\Info.hta WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
Ivan_ykt 0 Опубликовано 6 апреля, 2020 Автор Share Опубликовано 6 апреля, 2020 Добрый день. Логи собрали. Архив не создался. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 6 апреля, 2020 Share Опубликовано 6 апреля, 2020 Смените все пароли. Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти