Помогите очистить компьютер от шифровальщика

**Shepordxz** · 27.12.2021, 12:50

Добрый день. Словили шифровальшик на компьютер.
Windows 7, установили сегодня патч ms17-010, но в системе вирус остался.
Взломали через учетку RDP мы ее уже отключили.
Помогите очистить компьютер от этой заразы((

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.12.2021, 12:52

Уважаемый(ая) Shepordxz, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 27.12.2021, 13:44

Код:

C:\Users\autoteh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.exe

AnyDesk в автозагрузке ваш?
Если нет, удалите файл.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Shepordxz** · 28.12.2021, 10:32

Выполнил и выкладываю логи

**Vvvyg** · 28.12.2021, 11:15

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-2627058677-4158696243-206137895-1000\...\MountPoints2: {5de04936-5cc3-11ec-8786-309c2385968c} - D:\AutoRun.exe
HKU\S-1-5-21-2627058677-4158696243-206137895-1000\...\MountPoints2: {762a2f39-4493-11ec-9306-309c2385968c} - D:\wpi\MInst.exe
HKU\S-1-5-21-2627058677-4158696243-206137895-1000\...\MountPoints2: {762a2f3f-4493-11ec-9306-309c2385968c} - D:\wpi\MInst.exe
HKU\S-1-5-21-2627058677-4158696243-206137895-1001\...\MountPoints2: {5de04936-5cc3-11ec-8786-309c2385968c} - D:\AutoRun.exe
HKU\S-1-5-21-2627058677-4158696243-206137895-1001\...\MountPoints2: {762a2f39-4493-11ec-9306-309c2385968c} - D:\wpi\MInst.exe
HKU\S-1-5-21-2627058677-4158696243-206137895-1001\...\MountPoints2: {762a2f3f-4493-11ec-9306-309c2385968c} - D:\wpi\MInst.exe
HKU\S-1-5-21-2627058677-4158696243-206137895-1003\...\MountPoints2: {762a2f39-4493-11ec-9306-309c2385968c} - D:\wpi\MInst.exe
HKU\S-1-5-21-2627058677-4158696243-206137895-1004\...\MountPoints2: {5de04936-5cc3-11ec-8786-309c2385968c} - D:\AutoRun.exe
Task: {2CA24C07-8865-4225-B934-D05853B3170C} - \AAct -> Нет файла <==== ВНИМАНИЕ
Task: {C4E8B14A-4159-4C58-BDAD-281DBBFC97E8} - System32\Tasks\Microsoft\Windows Defender\MpIdleTask => d:\program files\windows defender\MpCmdRun.exe -IdleTask -TaskName MpIdleTask (Нет файла)
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
FirewallRules: [TCP Query User{B2151459-3CAB-4044-AE8D-29B89E6FB167}D:\123\sdi_rus\sdio_x64_r714.exe] => (Allow) D:\123\sdi_rus\sdio_x64_r714.exe => Нет файла
FirewallRules: [UDP Query User{E853A7F0-4BE1-4B09-B7D4-68445A1AD20B}D:\123\sdi_rus\sdio_x64_r714.exe] => (Allow) D:\123\sdi_rus\sdio_x64_r714.exe => Нет файла
FirewallRules: [{62915046-993E-4309-B2CD-545573165870}] => (Allow) C:\Users\autoteh\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{ECC2A4CB-A932-44F4-B26F-CD3EFD3BEB20}] => (Allow) C:\Users\autoteh\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{6BEB42CF-A190-4427-84A5-60044845BD6B}] => (Allow) C:\Users\autoteh\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{F2FCB637-C31E-437E-860A-2870CFFCD5FB}] => (Allow) C:\Users\autoteh\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{CD325F69-5012-44E6-8177-4E5838EDF85C}] => (Allow) C:\Users\autoteh\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{A09C3F88-AE0D-4C86-B56F-8E31324896EE}] => (Allow) C:\Users\autoteh\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{326D9D2B-8328-4962-9902-60D0734C19E6}] => (Allow) C:\Users\autoteh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.exe => Нет файла
FirewallRules: [{68A4522D-2BFD-4D7D-AA1E-E5ED3D01956C}] => (Allow) C:\Users\autoteh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.exe => Нет файла
FirewallRules: [{701A3169-E688-416B-B444-E64B0CB4A09E}] => (Allow) C:\Users\autoteh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.exe => Нет файла
FirewallRules: [{B175559C-4256-499F-9CF8-59090566C0A9}] => (Allow) C:\Users\autoteh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.exe => Нет файла
FirewallRules: [{FD0F1E26-614E-4739-80F9-AD07842F56CF}] => (Allow) C:\Users\autoteh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.exe => Нет файла
FirewallRules: [{81841CA7-AAA3-49F9-A785-D40CE54D5199}] => (Allow) C:\Users\autoteh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.exe => Нет файла
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

Помогите очистить компьютер от шифровальщика (заявка № 227491)

Опции темы