Перейти к содержанию

вирус (зашифровка данных)

crashkor
 Поделиться

Рекомендуемые сообщения

crashkor

crashkor

Опубликовано
Опубликовано

вирус зашифровал данные на пк с rdp, самое главное база 1с

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis: 

O4 - HKCU\..\Run: [C:\Users\kotelevets\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\kotelevets\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [1344.exe] = C:\Windows\System32\1344.exe  (file missing)
O4 - Startup other users: C:\Users\Delta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1344.exe    ->    (PE EXE)
O4 - Startup other users: C:\Users\kolomiec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1344.exe    ->    (PE EXE)
O4 - Startup other users: C:\Users\posohova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1344.exe    ->    (PE EXE)
O4 - User Startup: C:\Users\kotelevets\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2020-05-27 14:41 - 2020-05-27 14:41 - 000013916 _____ () C:\Users\kotelevets\AppData\Roaming\Info.hta
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Анвар
      Шифровальщик
      Автор Анвар
      Поймали вирус, он зашифровал файлы в вид Имя_файла.оригинальное_расширение.id-9CD284DD.[amagnus00@dmx.com].wallet.  Возможна ли дешифровка?
      CollectionLog-2017.04.20-15.36.zip
    • synopsis
      зашифровались файлы [amagnus00@gmx.com].wallet
      Автор synopsis
      зашифровались файлы :
       
      KVRT обнаружил payload_127AMM.exe файлы как Trojan-Ransom.Win32.Crusis.so
       
      RakhniDecryptor не помог
      CollectionLog-2017.04.29-17.28.zip
    • MSBishop
      Новое Расширение: Dharma шифровальщика: .onion
      Автор MSBishop
      Поймали шифровальщик. 
      Со страху пользователь грохнул систему и переустановил ОС поэтому ни логов и прочей информации собрать не удалось, остались только зашифрованные фалы
      Имена фалов изменились по шаблону: config.sys.id -66813FE4.[felix_dies@aol.com].onion
      Идентификация в ID Ransomware: Dharma (.onion)
       
      Для прочих dharma шифровальщиков есть дешифраторы.
      Есть ли шанс что для этого расширения будет дешифратор?
    • Александр Панев
      Вирус шифровальщик 3048664056@qq.com
      Автор Александр Панев
      Знакомые поймали вирус-шифровальщик. Просит написать на адрес 3048664056@qq.com
      Файлы зашифрованы с расширением .wallet
       
      1. Сперва PC полечил в ручную, удалил из автозагрузки и компьютера файл с вирусом.
      2. Проверил утилитой от касперского, вирусов больше не нашлось.
      3. При проверки файла с вирусом находит вирус: Trojan-Ransom.Win32.Crusis.xg
       
      В приложении:
      1. файл с вирусом (пароль 123)
      2. Зашифрованный файл
      3. Логи
       

      Строгое предупреждение от модератора "Mark D. Pearlstone" Не публикуйте вредоносные ссылки и файлы на форуме. csrs.exe.id-FC475758.3048664056@qq.com.zip
      CollectionLog-2017.04.26-16.26.zip
      Data recovery FILLs .txt
    • Виталий88
      Trojan-Ransom.Win32.Rakhni decryption tool
      Автор Виталий88
      добрый день, сегодня пришел на работу и не смог открыть не один документ. Все файлы имеют расширение id-.[shadowblacksea@qq.com].wallet. В диспетчере задач висит и даже не скрывается Trojan-Ransom.Win32.Rakhni decryption tool. Можно ли как то восстановить зашифрованные файлы и убить эту заразу? Dr.web как и касперский угроз не нашли
        CollectionLog-2017.04.25-13.53.zip
×
×
  • Создать...