Прошу помощи в очистке от шифровальщика kiaracript@gmail

[leon.ru]

Доброго времени суток. Прошу помощи в очистке компьютера от последствий работы шифровальщика kiaracript@gmail. Касперский virus removal tool ничего не нашел.

[Info_bot]

Уважаемый(ая) leon.ru, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

C:\Users\M.Boryaev\AppData\Roaming\Microsoft\Windo ws\Start Menu\Programs\Startup\{KIARA}.exe

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

Код:

O4 - HKU\S-1-5-21-1100697827-2446841498-2085723011-1006\..\Run: [{KIARA}] = C:\Users\M.Boryaev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.exe (file missing) (User 'M.Boryaev')
O4 - Startup other users: C:\Users\M.Boryaev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp
O4-32 - HKLM\..\RunOnce: [{C29DAE4B-6A9B-4555-A17A-029F7B737A1B}] = C:\Windows\system32\cmd.exe /C start /D "C:\Users\Leon\AppData\Local\Temp" /B {C29DAE4B-6A9B-4555-A17A-029F7B737A1B}.cmd

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[leon.ru]

Пофиксил

[mike 1]

2018-01-25 20:50 - 2014-06-23 15:54 - 000000134 _____ C:\Users\Leon\Desktop\Пароли.txt

Так пароли нельзя хранить.

C:\Users\M.Boryaev\AppData\Roaming\Microsoft\Windo ws\Start Menu\Programs\Startup\{KIARA}.exe

Этого файла нет?

[leon.ru]

Так пароли нельзя хранить.

Да нормально. Учетка администраторская - пользователи не доберутся, а пароли там были пользовательские и совсем некритичные.

Этого файла нет?

Этого не было. Был только bmp, который поставили на рабочий стол. Странно что пострадала только одна учетка. Еще 4 не отметились в реестре подобным. Вопрос остался - как выяснить кто конкретно это запустил, чтобы наказание адресным было...

[mike 1]

Да нормально. Учетка администраторская - пользователи не доберутся, а пароли там были пользовательские и совсем некритичные.

Нет, не нормально. Вам повезло, что учетку админа не сбрутили.

Вопрос остался - как выяснить кто конкретно это запустил, чтобы наказание адресным было...

Злоумышленник по RDP зашел под этой учеткой и вручную запустил шифровальщика. Если повезет в логах сервера может сохранится запись с какого IP заходили, но если злодей не дурак, то он стер их.