• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Добрый день. Зашифровали

Статус
В этой теме нельзя размещать новые ответы.

goodgeon

Новый пользователь
Сообщения
2
Реакции
0
Похоже подобрали пароль по RDP Сможете помочь?
 

Вложения

  • Desktop.rar
    28 KB · Просмотры: 2
  • Addition.txt
    16.6 KB · Просмотры: 1
  • Desktop.rar
    28 KB · Просмотры: 0
  • FRST.txt
    57.2 KB · Просмотры: 1
Здравствуйте!

Файл
C:\Users\buh\AppData\Roaming\logs.exe
упакуйте с паролем virus и прикрепите к следующему сообщению.
 
Прикрепил
 

Вложения

  • logs.rar
    63.9 KB · Просмотры: 1
С расшифровкой скорее всего помочь не сможем.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    () [File not signed] C:\Windows\System32\logs.exe
    HKLM\...\Run: [logs.exe] => C:\Windows\System32\logs.exe [94720 2019-10-16] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13920 2019-10-16] () [File not signed]
    HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13920 2019-10-16] () [File not signed]
    HKU\S-1-5-21-273882637-1955764774-2601040721-1004\...\Run: [logs.exe] => C:\Users\buh\AppData\Roaming\logs.exe [94720 2019-10-16] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-10-16] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\logs.exe [2019-10-16] () [File not signed]
    Startup: C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-10-16] () [File not signed]
    Startup: C:\Users\buh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\logs.exe [2019-10-16] () [File not signed]
    Startup: C:\Users\buh2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-10-16] () [File not signed]
    Startup: C:\Users\buh2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\logs.exe [2019-10-16] () [File not signed]
    Startup: C:\Users\oksana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\logs.exe [2019-10-16] () [File not signed]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-10-16] () [File not signed]
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\logs.exe [2019-10-16] () [File not signed]
    2019-10-16 08:57 - 2019-10-16 09:21 - 000013920 _____ C:\Users\buh\AppData\Roaming\Info.hta
    2019-10-16 08:57 - 2019-10-16 09:21 - 000000214 _____ C:\Users\buh\Desktop\FILES ENCRYPTED.txt
    2019-10-16 08:56 - 2019-10-16 09:12 - 000094720 _____ C:\Users\buh\AppData\Roaming\logs.exe
    2019-10-16 08:24 - 2019-10-16 08:24 - 000013920 _____ C:\Users\buh2\AppData\Roaming\Info.hta
    2019-10-16 08:24 - 2019-10-16 08:24 - 000000214 _____ C:\Users\buh2\Desktop\FILES ENCRYPTED.txt
    2019-10-16 08:03 - 2019-10-16 08:14 - 000094720 _____ C:\Users\buh2\AppData\Roaming\logs.exe
    2019-10-16 07:42 - 2019-10-16 07:52 - 000094720 _____ C:\Users\oksana\AppData\Roaming\logs.exe
    2019-10-16 04:11 - 2019-10-16 04:11 - 000013920 _____ C:\Windows\system32\Info.hta
    2019-10-16 04:11 - 2019-10-16 04:11 - 000013920 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
    2019-10-16 04:10 - 2019-10-16 04:10 - 000000214 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2019-10-16 04:10 - 2019-10-16 04:10 - 000000214 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
    2019-10-16 04:10 - 2019-10-16 04:10 - 000000214 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-10-16 04:10 - 2019-10-16 04:10 - 000000214 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2019-10-16 04:10 - 2019-10-16 04:10 - 000000214 _____ C:\FILES ENCRYPTED.txt
    Zip: c:\FRST\Quarantine\
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.
На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу