Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор


Здравейте, 

На братовчед ми компютъра се изключваше след определено време заради "lsass.exe спря неочаквано с код на състоянието 1" и ме помоли ако може да му сваля снимките и други неща и да го оправя за да си го ползва. 

И понеже нямах друга машина вкъщи която да е в работно състояние, го свързах към моята главната и пуснах malwarebytes да сканира за вируси да не си кача някой. 

Обаче след време реших да отворя да видя къде какво има и отварям аз единия партишън и ме посреща подобна картинка:cerber-ransom-notes.png.ab19847c4d058564f96c0d74648e10f1.png

 

Сега въпросът е - инфектирал ли съм си компютъра или не? Не съм го рестартирал, отскубнах харда и пуснах директно ново сканиране на malwarebytes, върви от 30 минути. 

Версията на вируса предполагам е стара, компютъра не е ползван отдавна. 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Това дял от твоята машина ли е или от тази на брат ти. Системата е инфектирана с криптовирус Cerber. Има голяма вероятност да не можеш да възстановиш никаква информация. От HJT Team ще си кажат становището.  Mr. 5r0ff ти е дал линк към темата, където трябва да изпълниш определени стъпки.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 15 минути, Емил Костов написа:

Това дял от твоята машина ли е или от тази на брат ти. Системата е инфектирана с криптовирус Cerber. Има голяма вероятност да не можеш да възстановиш никаква информация. От HJT Team ще си кажат становището.  Mr. 5r0ff ти е дал линк към темата, където трябва да изпълниш определени стъпки.

Снимка от интернет, по файловете на моята машина няма ядове засега. 

Иначе на харддиска на братовчед ми бяха така файловете

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Вируса явно е първа версия, файловете "decrypt my files" са с дата 20.05.2016


Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
преди 48 минути, Ivelin _ написа:

Вируса явно е първа версия, файловете "decrypt my files" са с дата 20.05.2016

Посети тази тема и изпълни стъпките в нея. От HJT Теаm ще ти помогнат за изчистване на вируса. Също така ще кажат, дали могат да се отключат заразените файлове

Редактирано от Емил Костов (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 3 часа, Ivelin _ написа:

компютъра се изключваше след определено време заради "lsass.exe спря неочаквано с код на състоянието 1"

Вероятно е излизало и съобщението за откуп.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ако не е стартирвано нищо от въпросния диск, няма как да си заразиш системата. Също ако имаш читава антивирусна, тя би трябвало да спре/блокира четене/изпълнение на инфектирани файлове.

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Декриптирането възможно ли е? 

Уж има работещи програми. 

За инфектирания компютър питам. 

Тази на Trend Micro от един час стои на един намерен файл от цяла папка уж снимки(всичко е цербер вътре). 

То и аз гледах да му махна всички други гадости, 486 намери malwarebytes който пуснах на него, а на моя бяха 111(сега видях репорта). Поне се задържа включен сега, иначе "lsass.exe спря неочаквано с код на състоянието 1, една минута до рестартиране". 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
току-що, Ivelin _ написа:

Декриптирането възможно ли е? 

Уж има работещи програми. 

За инфектирания компютър питам. 

Тази на Trend Micro от един час стои на един намерен файл от цяла папка уж снимки(всичко е цербер вътре). 

То и аз гледах да му махна всички други гадости, 486 намери malwarebytes който пуснах на него, а на моя бяха 111(сега видях репорта). Поне се задържа включен сега, иначе "lsass.exe спря неочаквано с код на състоянието 1, една минута до рестартиране". 

Посети ли темата, към която ти дадох линк??

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Сигурен ли си, че диска е наред, може да има лоши сектори. SMART статуса му гледал ли си?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
току-що, Емил Костов написа:

Посети ли темата, към която ти дадох линк??

да, чакам malwarebytes да свърши първо, после ще пусна онази програма. 6 часа и половина сканира

преди 1 минута, Raze написа:

Сигурен ли си, че диска е наред, може да има лоши сектори. SMART статуса му гледал ли си?

Наред е, видях го през на adata ssd toolbox, то показва за всички системни дискове информация, докато беше свързан го проверих

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
току-що, Ivelin _ написа:

да, чакам malwarebytes да свърши първо, после ще пусна онази програма. 6 часа и половина сканира

Каква програма да пускаш. Там има стъпки, които трябва да изпълниш. От HJT Team ли те накараха да сканираш в MalwareBytes или ти сам си правиш сканирания.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 5 минути, Ivelin _ написа:

Trend Micro от един час стои на един намерен файл

Пусни task manager и виж дали нещо се товари по време на проверката - диск, CPU?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Sata 2 samsung 250gb е, а компютъра е с pentium dual core E2160. Не очаквам да е бързо, но чак толкова бавно да е... 

преди 1 минута, Raze написа:

Пусни task manager и виж дали нещо се товари по време на проверката - диск, CPU?

процесора е на 100%

диска как се проверяваше при xp? :D

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

modedit: Има си специализиран раздел за Линукс ..!  Няма да търпя спам в темата на който и да е нормален човек търсещ помощ..! 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 1 час, Ivelin _ написа:

pentium dual core E2160

 

преди 1 час, Ivelin _ написа:

процесора е на 100%

Как очакваш с подобен ахраичен процесор да ползваш съвременен софтуер? Орязан отвсякъде, стар и само с 2 ядра, да не говорим за ниската честота...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 7 часа, Ivelin _ написа:

Здравейте, 

На братовчед ми компютъра се изключваше след определено време заради "lsass.exe спря неочаквано с код на състоянието 1" и ме помоли ако може да му сваля снимките и други неща и да го оправя за да си го ползва. 

И понеже нямах друга машина вкъщи която да е в работно състояние, го свързах към моята главната и пуснах malwarebytes да сканира за вируси да не си кача някой.

Malwarebytes не е антивирусна програма (нищо, че версия 4 се опитват да я изкарат като заместител на антивирусните и нищо, че има някакъв Anti-Ransomware модул за защита).

преди 5 часа, Ivelin _ написа:

Вируса явно е първа версия, файловете "decrypt my files" са с дата 20.05.2016

Като цяло вирусите лесно могат да променят timestamps на файловете и това не е никаква гаранция. А и това са само инструкциите. Няма гаранция, че другите ви файлове не са заразени с по-нова версия (ако гадината се е обновила през C&C контролния сървър).

преди 3 часа, Raze написа:

Ако не е стартирвано нищо от въпросния диск, няма как да си заразиш системата. Също ако имаш читава антивирусна, тя би трябвало да спре/блокира четене/изпълнение на инфектирани файлове.

При ransomware-a това не е съвсем така, но и като цяло за външни устройства се препоръчва да се спре Autorun/AutoPlay на системата към която се връзва подобно устройство именно за да се избегнат подобни рискове.

преди 1 час, Ivelin _ написа:

Декриптирането възможно ли е?

Зависи от много неща. Дали за криптирането са използвани онлайн или офлайн ключове. Ако са офлайн има шанс, ако са онлайн и същите не са изтекли от някъде трудна работа. Все пак прати някой от криптираните файлове тук и виж какво ще получиш като инструкции:

https://id-ransomware.malwarehunterteam.com/

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...