Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

Бух поймала шифровальщик который пожал часть документов типа .pdf в .zip.

Документы формата doc, xls какие то в зип какие то просто открываются не пойми как.

Базы 1с 8ки он оставил с тем же расширением но они не читабельны. Вроде как бы 1Сник откатил из копии не проверял.

Единственное что он сделал прогнался какими то антивирусниками и удалил всё на что он орал.

Лог будет пойже как комп привезут.

Прикладываю скрин окна README_XXXXX.txt.

Так же прикладываю сам архив с вирусом что бух скачала Акт сверки ФинАудитСервис.8hphfq.zip. Без пароля.

По сайту касперского архив определяется как Trojan.Win32.TorJok.lu

В архиве Выписки_шифр_файл(pass-1) пример зашифрованного файла и ещё файл .sig я так понимаю это от вируса остался.

А так же прикладываю архивы с файлами ZZZ которые вирус любезно за собой удалил.

Файлы ZZ подписаны по месту в каком каталоге были найдены.

 На остальные архивы пароль 1.

Акт сверки ФинАудитСервис.8hphfq.zip Выписки_шифр_файл(pass-1).7z ZZZZZZZZZZZZZZZZZZZ(В документах).7z ZZZZZZZZZZZZZZZZZZZ(В базах).7z

IMG-3940bb3f59d246b210aadfa7a0aab585-V.jpg

Изменено пользователем buzb52
Ссылка на сообщение
Поделиться на другие сайты
44 минуты назад, Sandor сказал:

Здравствуйте!

 

Сам файл тоже прикрепите.

Добрый день.

Прикреплю после 18 часов по москве.

Как привезут данный пк.

 

Забыл написать.

Файлы ZZ разные. По весу. И который был в базах он идёт как исполняемый.

Изменено пользователем buzb52
Ссылка на сообщение
Поделиться на другие сайты

Добрый вечер. 

Прикладываю все файлы о которых говорили ранее.

Посмотрел лог каспера который стоял на этом компе и выпал в осадок.

Он его типа обезвредил но всё равно вредонос продолжил работать и скачал и запустил файл AppdaterUpdate_1584554963.exe

avz_log.txt avz-log-all.7z README_hppcivoph3jc.txt Лог каспера.txt

Ссылка на сообщение
Поделиться на другие сайты

Может расскажите нам как так получилось, что установлена 17 версия антивируса, которая я думаю уже снята с поддержки?

 

+ Выполните правила 

 

Ссылка на сообщение
Поделиться на другие сайты

Данный пк не входит в мои обязанности.

До сегодняшнего дня я даже не знал об его существовании.

на нём стоял ещё аваст который я ушатал. т.к. ос нормально не загружалась.

Причёсывать его буду после восстановления справедливости.

Ссылка на сообщение
Поделиться на другие сайты

Наверное пока чистить.

Как я заметил в папке юзера куда он извлекается на вин10 он создаёт 2 ключа. только не понял до конца это ключи генерации тора или ключи для шифрования файлов на пк.

как я понял он эти ключи отправляет на сервер хозяина. только вопрос если это те ключи, то на сколько они уникальны.

Ссылка на сообщение
Поделиться на другие сайты

Видны следы бывшей установки Kaspersky Internet Security 17.0.0

Нужно удалить с помощью утилиты в безопасном режиме.

 

Антивирус оставьте один, остальные удалите:

Цитата

Loaris Trojan Remover 3.0.92

Malwarebytes, версия 3.8.3.2965

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {847388af-e433-11e9-8642-806e6f6e6963} - "E:\start.exe" 
    HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {9416fa65-b36b-11e9-85e4-3497f6e0391d} - "E:\start.exe" 
    HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {9642f342-cd70-11ea-8825-3497f6e0391d} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1354578399-3504242563-3297069971-1002\...\MountPoints2: {f0eab5bb-b15a-11e9-85da-3497f6e0391d} - "E:\start.exe" 
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {8E0047D9-6193-4D4F-848B-33865834B8FE} - \Optimize Start Menu Cache Files-S-1-5-21-1354578399-3504242563-3297069971-1001 -> No File <==== ATTENTION
    Task: {E458E2EC-6A75-4596-B958-52B360F3ED46} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1660520 2020-02-27] (Avast Software s.r.o. -> Avast Software)
    CHR NewTab: Default ->  Active:"chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
    C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    
    C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\adipnhhjfmoehhkepljbifddkobenooa
    
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...