• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помогите расшифровать файлы sirattacker0@tutanota.com

  • Автор темы Автор темы Tser
  • Дата начала Дата начала
  • Теги Теги
    ryuk
T

Tser

Новый пользователь
Сообщения
11
Реакции
0
Всем добрый день!
Сервер с windows server 2019 был атакован шифровальщиком.
Отчет Farbar и зашифрованные файлы во вложении.
Посмотрите пжл, есть ли надежда?
 

Вложения

Здравствуйте!

Один из файлов "How to Recovery.bat" прикрепите к следующему сообщению, пожалуйста.
Не буду обнадёживать, скорее всего расшифровки нет. Но хотя бы определим тип вымогателя.
 
Так как вредонос активен, пока выполните скрипт:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-880318448-2200110538-3682484860-1103\...\Run: [System] => C:\ProgramData\System.exe [76288 2023-02-13] (Quick Heal Technologies Ltd.) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.lnk [2023-02-14]
ShortcutTarget: System.lnk -> C:\ProgramData\System.exe (Quick Heal Technologies Ltd.) [Файл не подписан]
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.lnk.i5ry [2023-02-14]
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.lnk.u050 [2023-02-14]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\ashpin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\Bukovka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\DOREL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\ermohin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\Fedkin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\IRINA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\IRINA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup - Ярлык.lnk.3goh [2023-02-14]
Startup: C:\Users\Irina1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\Korovyansky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\krivonosov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\mokshin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\pavelev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\polovov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\punt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\samoylov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\skiljazhin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\teleworker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\Varetsa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\voronin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\VVCH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Task: {18E569BB-3843-4CBE-936E-B033B141AB42} - System32\Tasks\System => C:\ProgramData\System.exe [76288 2023-02-13] (Quick Heal Technologies Ltd.) [Файл не подписан] <==== ВНИМАНИЕ
2023-02-13 23:43 - 2023-02-13 23:43 - 000003486 _____ C:\Windows\system32\Tasks\System
2023-02-13 23:42 - 2023-02-13 23:38 - 000076288 _____ (Quick Heal Technologies Ltd.) C:\ProgramData\System.exe
Virustotal: C:\ProgramData\System.exe
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
FirewallRules: [{4C96EE4F-9578-4176-B4A3-D1B831461AC3}] => (Allow) LPort=3389
FirewallRules: [{b4e1a2f5-897e-4777-957a-50e255a1115b}] => (Allow) LPort=1194
Zip: c:\FRST\Quarantine\
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.
На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.
 
Архив к сожалению выслать не получается, и gmail и mail.ru ругаются на вирус и не позволяют отправить письмо
 
Упакуйте его ещё раз со сложным паролем (который не забудьте сообщить) и пробуйте отправить. Если тоже не получится, залейте на доступный файлообменник и ссылку на скачивание отправьте мне личным сообщением.
 
Получилось отправить на почту
 
Получил, спасибо. Ещё некоторое время подождите.
 
Несколько вопросов :
1) Проверка говорит, что порт 3389 открыт Проверка порта
2) Я правильно понимаю, что платить выкуп не имеет смысла, файлы не закодированы, а именно повреждены?
3) Систему как-то можно вылечить? или только полная переустановка?
 
Tser написал(а):
Проверка говорит, что порт 3389 открыт
Нажмите для раскрытия...
Соберите новые логи FRST.txt и Addition.txt, посмотрим.

Tser написал(а):
файлы не закодированы, а именно повреждены?
Нажмите для раскрытия...
Файлы закодированы. Платить или нет, решать вам. Мы не советуем, т.к. тем самым вы стимулируете злодеев на дальнейшую работу в этом направлении.
К тому же нередко даже после уплаты выкупа, они ничего не высылают и пропадают. Примеров много:
www.safezone.cc

Антимошенник

Поймал за руку мошенника? Расскажи об этом сообществу.
www.safezone.cc www.safezone.cc

Tser написал(а):
Систему как-то можно вылечить?
Нажмите для раскрытия...
После анализа повторных логов смогу ответить, но предположу, что вредоносных файлов уже нет.
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Task: {E6CB5328-8938-4A4E-AD7D-6A5051629A38} - System32\Tasks\BDAntiCryptoWallTask => C:\Program Files\Bitdefender\Tools\BDAntiRansomware\BDAntiRansomware.exe (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2023-02-14 05:05 - 2023-02-14 04:52 - 000001835 _____ C:\Users\vps\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Администратор\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Администратор\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\VVCH\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\VVCH\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\VVCH\Desktop\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\voronin\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\voronin\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\teleworker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\teleworker\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\skiljazhin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\skiljazhin\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\samoylov\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\samoylov\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\samoylov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\samoylov\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\punt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\punt\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\polovov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\polovov\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Korovyansky\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Korovyansky\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Irina1\Desktop\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Fedkin\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Fedkin\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Fedkin\Desktop\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\ermohin\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\ermohin\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\ashpin\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\ashpin\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\ashpin\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Администратор\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Администратор\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Администратор\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\VVCH\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\VVCH\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\voronin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\voronin\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\voronin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Varetsa\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Varetsa\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Varetsa\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Varetsa\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Varetsa\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\USR1CV8\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\USR1CV8.CDTS\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\teleworker\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\teleworker\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\teleworker\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\teleworker\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\teleworker\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\skiljazhin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\skiljazhin\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\skiljazhin\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\skiljazhin\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\skiljazhin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\samoylov\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\samoylov\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\samoylov\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\punt\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\punt\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\punt\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\punt\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\punt\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Public\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Public\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Public\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\polovov\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\polovov\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\polovov\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\polovov\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\polovov\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\pavelev\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\pavelev\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\pavelev\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\pavelev\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\pavelev\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\mokshin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\mokshin\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\mokshin\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\mokshin\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\mokshin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\krivonosov\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\krivonosov\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\krivonosov\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\krivonosov\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\krivonosov\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Korovyansky\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Korovyansky\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Irina1\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Irina1\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Fedkin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Fedkin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\ermohin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\ermohin\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\ermohin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\DOREL\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\DOREL\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\DOREL\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\DOREL\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\DOREL\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Default\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Bukovka\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Bukovka\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Bukovka\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Bukovka\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Bukovka\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\ashpin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\ashpin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\.NET v4.5\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\.NET v4.5 Classic\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\ProgramData\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\ProgramData\How to Recovery.bat
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Большое спасибо за помощь!
 
Добрый день!
Собрал новый отчет FRST, проверьте пжл
 

Вложения

Плохого не видно.
Файлы How to Recovery.bat можете просто удалить.

Смените пароли администраторов.
Если используете подключение через RDP, прячьте его за VPN.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

A
  • Закрыта
Закрыто Помогите расшифровать файлы, зашифрованные Trojan.Encoder.5035
Ответы
1
Просмотры
503
akok
akok
M
  • Закрыта
Решена без расшифровки Помогите расшифровать файлы,
Ответы
2
Просмотры
701
moped1986
M
P
Решена с расшифровкой. Помогите расшифровать файлы после CryLock 2
Ответы
3
Просмотры
830
Sandor
Sandor
Назад
Сверху Снизу