Файлы зашифрованы, расширение ROGER
Printable View
Файлы зашифрованы, расширение ROGER
Уважаемый(ая) [B]Scanalex[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Вероятно это Dharma, расшифровки которой нет.
Для верности пару зашифрованных в архиве прикрепите к следующему сообщению.
Помощь в очистке системы от возможных следов нужна или планируете переустановку?
Умом понимаю, что проще переставить систему, тем более, что файлы все равно потеряны навсегда. И на двух зараженных машинах так и сделаю. А вот на той, чей лог предоставил, хотелось бы истребить гада. Буду премного благодарен за помощь с очисткой.
[quote="Scanalex;1520142"]истребить гада[/quote]
Обычно после своего черного дела он само уничтожается.
Для верности сделайте дополнительно:
Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Не дает загрузить файлы отчета. В менеджере вложений висят файлы аж с 2008 года, и как их удалить - непонятно
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Вообще, довольно странно проявляет себя зловред. На двух машинах просто по-тихому зашифрованы файлы. На третьей после загрузки системы черный экран, ярлыки зашифрованы, сразу открываются несколько окон с предупреждением о шифровании и данными для связи с авторами.
[url]https://virusinfo.info/showthread.php?t=130567[/url]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[quote="Scanalex;1520144"]На третьей после загрузки системы черный экран, ярлыки зашифрованы, сразу открываются несколько окон[/quote]
Эта машина и была заражена. На остальных скорее всего в расшаренных папках, куда был доступ с зараженного ПК.
Логи
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1377160593-526890680-2369731321-1000\...\MountPoints2: {bc2aa9e5-4bc1-11ea-a8d8-902b3477cfa8} - H:\JoinMe_for_Android.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {EFEE4E34-F14B-46BD-AE4C-D76AC4272BC2} - \OInstall -> Нет файла <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxps://www.google.com/","hxxp://www.mail.ru/cnt/9516","hxxp://www.google.com/","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://mail.ru/cnt/10445?gp=811036"
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Исправить[/B] ([B]Fix[/B]) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.
Следов вымогателя тут не видно.
Лог
Проверьте уязвимые места:
[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]
Лог
------------------------------- [ Windows ] -------------------------------
[color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color]
Internet Explorer 11.0.9600.18860 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4537820]Скачать обновления[/url][/b][/color]
[color=blue][b]^Используйте [b][url=https://web.archive.org/web/20200225125554if_/http://download.microsoft.com:80/download/6/C/9/6C970550-32AB-4235-9CDD-7FC9DD848BBB/WindowsUpdate.diagcab]Средство устранения неполадок[/url][/b] при проблемах установки^[/b][/color]
[color=red][b]Контроль учётных записей пользователя [b]отключен[/b] (Уровень 1)[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761 [color=red][b]Внимание! [url=https://dotnet.microsoft.com/download/dotnet-framework/net48]Скачать обновления[/url][/b][/color]
Foxit Reader v.6.0.10.1213 [color=red][b]Внимание! [url=https://www.foxitsoftware.com/ru/pdf-reader/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Локализованные версии могут обновляться позже англоязычных!^[/b][/color]
Microsoft Office Access database engine 2007 (English) v.12.0.4518.1031 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color]
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.80 (64-разрядная) v.5.80.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 7.4 v.7.4 [color=red][b]Внимание! [url=https://www.faststone.org/FSIVDownload.htm]Скачать обновления[/url][/b][/color]
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45704 [color=red][b]Внимание! Клиент сети P2P с рекламным модулем![/b][/color].
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 [color=red][b]Внимание! Программа удаленного доступа![/b][/color]
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 251 (64-bit) v.8.0.2510.8 [color=red][b]Внимание! [url=https://java.com/download/manual.jsp]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u291-windows-x64.exe)^[/b][/color]
---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer, версия 8.29 v.8.29 [color=red][b]Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, [url=https://support.microsoft.com/ru-ru/help/2563254/microsoft-support-policy-for-the-use-of-registry-cleaning-utilities]программу-оптимизатор или программу очистки реестра[/url].[/b][/color] Рекомендуется деинсталляция и сканирование ПК с помощью [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url]. Возможно Вы стали жертвой обмана или социальной инженерии.
Спасибо!