• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки [WTF2000@cock.li].harma

ВиталийВВ

Новый пользователь
Сообщения
4
Реакции
0
Добрый день! Поймали вирус [WTF2000@cock.li].harma. зашифровал все файлы, очень прошу помощи в решении данно ситуации! файл самого вируса я не нашел.
 

Вложения

  • Addition.txt
    26 KB · Просмотры: 1
  • Desktop.rar
    5.1 MB · Просмотры: 0
  • FRST.txt
    47.6 KB · Просмотры: 1
Доброго времени суток, это CrySis (Dharma)... расшифровки под не нет, даже у антивирусных компаний.
 
Большое спасибо за быстрый ответ. Конечно очень жаль(
после него лучше переустановить систему? или попробовать вылечить?
 
На ваше усмотрение, только обратите внимание, что некоторые шифровальщики заражают через RDP, а это значит, что рекомендуется сменить пароли и настроить защиту от подбора оных (паролей).
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1sqb.exe;
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1sqb.exe [2019-07-07] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-07-07] () [File not signed]
    Startup: C:\Users\work\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1sqb.exe [2019-07-08] () [File not signed
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1sqb.exe
    2019-07-07 15:14 - 2019-07-07 15:14 - 000013910 _____ C:\Windows\system32\Info.hta
    2019-07-07 15:14 - 2019-07-07 15:14 - 000013910 _____ C:\Users\work\AppData\Roaming\Info.hta
    2019-07-07 15:14 - 2019-07-07 15:14 - 000000164 _____ C:\Users\work\Desktop\FILES ENCRYPTED.txt
    2019-07-07 15:14 - 2019-07-07 15:14 - 000000164 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-07-07 15:14 - 2019-07-07 15:14 - 000000164 _____ C:\FILES ENCRYPTED.txt
    2019-07-07 15:14 - 2019-07-07 15:14 - 000013910 _____ () C:\Users\work\AppData\Roaming\Info.hta
    ContextMenuHandlers1: [Kaspersky Anti-Virus 19.0.0] -> {755D388B-420B-4692-A974-84AAF0E577D3} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\x64\ShellEx.dll -> No File
    ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WINRAR\rarext64.dll -> No File
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WINRAR\rarext.dll -> No File
    ContextMenuHandlers2: [Kaspersky Anti-Virus 19.0.0] -> {755D388B-420B-4692-A974-84AAF0E577D3} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\x64\ShellEx.dll -> No File
    ContextMenuHandlers4: [Kaspersky Anti-Virus 19.0.0] -> {755D388B-420B-4692-A974-84AAF0E577D3} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\x64\ShellEx.dll -> No File
    ContextMenuHandlers4: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WINRAR\rarext64.dll -> No File
    ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WINRAR\rarext.dll -> No File
    ContextMenuHandlers6: [Kaspersky Anti-Virus 19.0.0] -> {755D388B-420B-4692-A974-84AAF0E577D3} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\x64\ShellEx.dll -> No File
    ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WINRAR\rarext64.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WINRAR\rarext.dll -> No File
    FirewallRules: [{9596FE27-C291-4552-ABF2-3BCAE968CBEA}] => (Allow) C:\Users\work\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{FAB00B98-3FD1-4164-B7C1-E4C6BC354031}] => (Allow) C:\Users\work\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{FE79ED2D-4AF5-48DF-9F5C-5B59C458A047}] => (Allow) C:\Users\work\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{2C70BB2A-254C-41D7-9BEF-58F1B224B2A2}] => (Allow) C:\Users\work\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{0F0286E2-4729-47CC-89EF-9DF214012820}] => (Allow) C:\Users\work\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{B50CEA65-F740-4CAF-A990-7C165C06832E}] => (Allow) C:\Users\work\AppData\Roaming\uTorrent\uTorrent.exe No File
    FirewallRules: [{7DCB68EA-D131-4C19-97DA-A07AA9067B9E}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office16\lync.exe No File
    FirewallRules: [{904F4AD6-2A52-4CDA-AE7D-C58EEA642431}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office16\lync.exe No File
    FirewallRules: [{AFE5D1C9-234F-44D5-AC76-FEEAFE6833CA}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office16\UcMapi.exe No File
    FirewallRules: [{685FDB3D-038A-4B07-8FBD-02085C7D9F41}] => (Allow) C:\Program Files (x86)\Microsoft Office\Office16\UcMapi.exe No File
    FirewallRules: [{3D45A325-1146-4E36-B843-EB7CDDDD7447}] => (Allow) C:\Program Files (x86)\HP\csiInstaller\3b050369-8d19-413d-9dec-84ff278472eb\Installer\hpbcsiInstaller.exe No File
    FirewallRules: [{55868070-82D1-495A-9450-A352A763AEBB}] => (Allow) C:\Program Files (x86)\HP\csiInstaller\3b050369-8d19-413d-9dec-84ff278472eb\Installer\hpbcsiInstaller.exe No File
    FirewallRules: [TCP Query User{45E2B85B-402A-45D1-A0D4-599245CD93FB}C:\program files (x86)\1cv8\8.3.13.1513\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.13.1513\bin\1cv8.exe No File
    FirewallRules: [UDP Query User{5B8A7714-107B-4DA9-97E0-9D06111D7777}C:\program files (x86)\1cv8\8.3.13.1513\bin\1cv8.exe] => (Allow) C:\program files (x86)\1cv8\8.3.13.1513\bin\1cv8.exe No File
    FirewallRules: [{F975CF33-867F-440C-8B04-7F7F81D3927D}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{B8E657E3-2AA7-4D2B-A6E7-907A63EC3656}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [TCP Query User{4B09580F-EA67-4BEB-9D8E-A0815124A7E8}C:\program files (x86)\monitorsoftware\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\monitorsoftware\jre\bin\javaw.exe No File
    FirewallRules: [UDP Query User{C07D8B88-A1E9-473F-98BC-3BD4E28DA50B}C:\program files (x86)\monitorsoftware\jre\bin\javaw.exe] => (Allow) C:\program files (x86)\monitorsoftware\jre\bin\javaw.exe No File
    FirewallRules: [{5D6BDCB7-A4E2-46B1-BC30-15385D2E333E}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Не нужно запускать скрипт несколько раз. (случайно)
 

Вложения

  • SecurityCheck.txt
    10.2 KB · Просмотры: 1
Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4503292 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Codec Pack 12.0.5 Basic v.12.0.5 Внимание! Скачать обновления
VLC media player v.2.2.2 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 201 (64-bit) v.8.0.2010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-x64.exe)^
Java 8 Update 201 v.8.0.2010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-i586.exe)^

О паролях я писал выше. На этом все, чем можно помочь... осталось разобраться вам с зашифрованными ярлыками.
 
Назад
Сверху Снизу