Доброго времени суток. Прошу помощи в очистке компьютера от последствий работы шифровальщика kiaracript@gmail. Касперский virus removal tool ничего не нашел.
Printable View
Доброго времени суток. Прошу помощи в очистке компьютера от последствий работы шифровальщика kiaracript@gmail. Касперский virus removal tool ничего не нашел.
Уважаемый(ая) [B]leon.ru[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[QUOTE]C:\Users\M.Boryaev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.exe[/QUOTE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (используйте версию из папки Автологгера).
[CODE]
O4 - HKU\S-1-5-21-1100697827-2446841498-2085723011-1006\..\Run: [{KIARA}] = C:\Users\M.Boryaev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.exe (file missing) (User 'M.Boryaev')
O4 - Startup other users: C:\Users\M.Boryaev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp
O4-32 - HKLM\..\RunOnce: [{C29DAE4B-6A9B-4555-A17A-029F7B737A1B}] = C:\Windows\system32\cmd.exe /C start /D "C:\Users\Leon\AppData\Local\Temp" /B {C29DAE4B-6A9B-4555-A17A-029F7B737A1B}.cmd
[/CODE]
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list=1][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
Пофиксил
[QUOTE]2018-01-25 20:50 - 2014-06-23 15:54 - 000000134 _____ C:\Users\Leon\Desktop\Пароли.txt
[/QUOTE]
Так пароли нельзя хранить.
[QUOTE]C:\Users\M.Boryaev\AppData\Roaming\Microsoft\Windo ws\Start Menu\Programs\Startup\{KIARA}.exe[/QUOTE]
Этого файла нет?
[QUOTE=mike 1;1474415]Так пароли нельзя хранить.[/QUOTE]
Да нормально. Учетка администраторская - пользователи не доберутся, а пароли там были пользовательские и совсем некритичные.
[QUOTE=mike 1;1474415]Этого файла нет?[/QUOTE]
Этого не было. Был только bmp, который поставили на рабочий стол. Странно что пострадала только одна учетка. Еще 4 не отметились в реестре подобным. Вопрос остался - как выяснить кто конкретно это запустил, чтобы наказание адресным было...
[QUOTE]Да нормально. Учетка администраторская - пользователи не доберутся, а пароли там были пользовательские и совсем некритичные. [/QUOTE]
Нет, не нормально. Вам повезло, что учетку админа не сбрутили.
[QUOTE]Вопрос остался - как выяснить кто конкретно это запустил, чтобы наказание адресным было...[/QUOTE]
Злоумышленник по RDP зашел под этой учеткой и вручную запустил шифровальщика. Если повезет в логах сервера может сохранится запись с какого IP заходили, но если злодей не дурак, то он стер их.