Показано с 1 по 7 из 7.

помогите с шифровальщиком Harma (заявка № 224479)

  1. #1
    Junior Member Репутация
    Регистрация
    08.02.2020
    Сообщений
    3
    Вес репутации
    1

    помогите с шифровальщиком Harma

    вчера ночью словил шифровальщика по rdp
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось den4eg.p; 09.02.2020 в 06:40.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,311
    Вес репутации
    357
    Уважаемый(ая) den4eg.p, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,804
    Вес репутации
    3080
    Здравствуйте.

    Выполните скрипт в AVZ из папки Autologger
    Код:
    begin
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\8I789T_payload.exe','');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\8I789T_payload.exe','');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','');
     TerminateProcessByName('c:\windows\system32\8i789t_payload.exe');
     QuarantineFile('c:\windows\system32\8i789t_payload.exe','');
     DeleteFile('c:\windows\system32\8i789t_payload.exe','32');
     DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','64');
     DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','64');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\8I789T_payload.exe','64');
     DeleteFile('C:\Windows\System32\Info.hta','64');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta','64');
     DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\8I789T_payload.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    08.02.2020
    Сообщений
    3
    Вес репутации
    1
    новые логи
    после перезагрузки автологер и файлы вложенные в папку автологер сразу шифруются
    причем из корня диска С автологер запустить вообще не удается.

    оплатил подписку помогите +
    Вложения Вложения
    Последний раз редактировалось den4eg.p; 09.02.2020 в 07:11.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,804
    Вес репутации
    3080
    Цитата Сообщение от den4eg.p Посмотреть сообщение
    оплатил подписку помогите +
    бессмысленно было это делать. С расшифровкой помочь не сможем.

    Вы даже скрипт лечения из сообщения №3 не выполнили, а собираете новые логи.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    08.02.2020
    Сообщений
    3
    Вес репутации
    1
    [QUOTE=thyrex;1508672]бессмысленно было это делать. С расшифровкой помочь не сможем.

    Вы даже скрипт лечения из сообщения №3 не выполнили, а собираете новые логи.[/Q
    скрипты оба выполнение удачное
    последний лог прикрепил

    сервер я из бекапа востановил, по этому лечение мне не сильно то и нужно. а вот посвежее бекап базы бы расшифровать?
    Вложения Вложения
    Последний раз редактировалось den4eg.p; 09.02.2020 в 12:29.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    98,804
    Вес репутации
    3080
    Цитата Сообщение от den4eg.p Посмотреть сообщение
    а вот посвежее бекап базы бы расшифровать?
    Я же написал
    Цитата Сообщение от thyrex Посмотреть сообщение
    С расшифровкой помочь не сможем.
    Не знаю, что Вы там восстанавливали из бэкапа, но шифратор живее всех живых и прекрасно работает, а карантина от Вас как не было, так и нет.

    Выполните скрипт в AVZ из папки Autologger в БЕЗОПАСНОМ РЕЖИМЕ
    Код:
    begin
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     TerminateProcessByName('c:\users\Администратор\appdata\roaming\8i789t_payload.exe');
     QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\8I789T_payload.exe','');
     QuarantineFile('C:\Windows\System32\8I789T_payload.exe','');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','');
     QuarantineFile('c:\users\Администратор\appdata\roaming\8i789t_payload.exe','');
     DeleteFile('c:\users\Администратор\appdata\roaming\8i789t_payload.exe','32');
     DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','64');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','64');
     DeleteFile('C:\Windows\System32\8I789T_payload.exe','64');
     DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\8I789T_payload.exe','32');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8I789T_payload.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8I789T_payload.exe','x64');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Помогите расшифровать .harma
    От lex445 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 17.12.2019, 19:04
  2. Вирус срасширением .harma
    От dina в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 02.07.2019, 10:17
  3. Ответов: 5
    Последнее сообщение: 02.07.2019, 09:34
  4. Вирус-шифровальщик с расширением .harma
    От zurbagan в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 01.07.2019, 23:21
  5. Вирус-шифровальщик [savemydata@qq.com].harma
    От MAydarM в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 27.06.2019, 16:47

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00607 seconds with 20 queries