Решена с расшифровкой. Помогите с расшифровкой файлов email-nightmare666@cock.li.ver-CL 1.5.1.0.id

[drredl]

Во вложении логи и 2 зашифрованных файла.

 

[Sandor]

Здравствуйте!

Смените пароль на RDP.
Пересмотрите открытые в системе ресурсы:

C:\
D:\Install
C:\Users

На все ли нужен общий доступ?

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[thyrex]

+

C:\Windows\Temp\100.210.63.235.exe
C:\Windows\Temp\106.106.106.106.exe
C:\Windows\Temp\210.199.95.168.exe
C:\Windows\Temp\236.247.191.236.exe

если эти файлы Вам неизвестны, заархивируйте их с паролем virus и прикрепите к следующему сообщению.

 

[drredl]

Эти файлы отсутствуют в папке Temp
отчеты программы во вложении

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM-x32\...\RunOnce: [{CDFBA5E5-798C-478F-90C9-442402649055}] => cmd.exe /C start /D "C:\Users\drredl\AppData\Local\Temp" /B {CDFBA5E5-798C-478F-90C9-442402649055}.cmd
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  Task: {12D04390-20C2-4EB1-9A08-7AD7CE64ECD7} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
  Task: {2370FF84-1C5C-44AF-83C6-37EF6BD150CE} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachineGU => C:\Windows\SysWOW64\Microsoft\Protect\S-1-17-57\RB_1.4.59.54.exe <==== ATTENTION
  CHR HKU\S-1-5-21-1592555558-845544997-788582629-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fahheakdhoeoigmafejkehdoeikpgdfp] - hxxps://clients2.google.com/service/update2/crx
  C:\Users\drredl\AppData\Roaming\Opera Software\Opera Stable\Extensions\bcfnnbdaocdnkmneglmfiaolianijghh
  C:\Users\drredl\AppData\Roaming\Opera Software\Opera Stable\Extensions\depfhamdeinjchcpddlpmjiiigdpbeii
  S3 mvdM23; \??\C:\Users\drredl\AppData\Local\Temp\mvdM23.sys [X] <==== ATTENTION
  FF SearchPlugin: C:\Users\drredl\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset [2019-06-02]
  FF SearchPlugin: C:\Users\drredl\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\README.txt [2019-06-02]
  2019-06-02 04:47 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\AppData\Roaming\README.txt
  2019-06-02 04:47 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\AppData\README.txt
  2019-06-02 04:47 - 2019-06-02 04:47 - 000000103 _____ C:\Program Files (x86)\README.txt
  2019-06-02 04:45 - 2019-06-02 04:45 - 000000103 _____ C:\Program Files\README.txt
  2019-06-02 04:45 - 2019-06-02 04:45 - 000000103 _____ C:\Program Files\Common Files\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Public\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Public\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Public\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Public\Downloads\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\Downloads\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\Documents\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\Desktop\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\AppData\Roaming\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\AppData\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\AppData\Local\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\Downloads\README.txt
  2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\Documents\README.txt
  2019-06-02 04:21 - 2019-06-02 04:21 - 000000103 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-02 04:21 - 2019-06-02 04:21 - 000000103 _____ C:\Users\drredl\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-02 04:20 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:20 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:20 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:20 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\Desktop\README.txt
  2019-06-02 04:18 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:18 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\AppData\LocalLow\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\AppData\Local\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\AppData\Local\Apps\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default User\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default User\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default User\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default User\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default User\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default User\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\AppData\Local\Apps\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\Downloads\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\Documents\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\Desktop\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\AppData\Roaming\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\AppData\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\AppData\Local\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default User\Downloads\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default User\Documents\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default User\Desktop\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default User\AppData\Roaming\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default User\AppData\README.txt
  2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default User\AppData\Local\README.txt
  2019-06-02 04:17 - 2019-06-02 04:17 - 000001336 _____ C:\Users\drredl\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:17 - 2019-06-02 04:17 - 000000103 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-02 04:17 - 2019-06-02 04:17 - 000000103 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
  2019-06-02 04:16 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Public\Documents\README.txt
  2019-06-02 04:16 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Public\Desktop\README.txt
  2019-06-02 04:16 - 2019-06-02 04:21 - 000001336 _____ C:\Users\Все пользователи\README.txt
  2019-06-02 04:16 - 2019-06-02 04:21 - 000001336 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:16 - 2019-06-02 04:21 - 000001336 _____ C:\Users\Public\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:16 - 2019-06-02 04:21 - 000001336 _____ C:\ProgramData\README.txt
  2019-06-02 04:16 - 2019-06-02 04:16 - 000001336 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:16 - 2019-06-02 04:16 - 000001336 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
  2019-06-02 04:16 - 2019-06-02 04:16 - 000000103 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[thyrex]

Эти файлы отсутствуют в папке Temp

Естественно, что за время, прошедшее между Вашими ответами, может произойти, что угодно. Даже если было тело вируса, оно прекрасно могло самоудалиться.

 

[drredl]

Во вложении лог-файл

 

[thyrex]

Сделайте лог МВАМ

 

[drredl]

во вложении лог файл

 

[akok]

C:\WINDOWS\TEMP\210.199.95.168.EXE - судя по логу существует. Показ скрытых папок/файлов включен?

 

[thyrex]

+ C:\USERS\DRREDL\DESKTOP\TOR BROWSER\DOCUMENT.EXE - этот файл Вам известен?

Если неизвестен, то его тоже пришлите в архиве с паролем virus.

 

[drredl]

прикреп

C:\WINDOWS\TEMP\210.199.95.168.EXE - судя по логу существует. Показ скрытых папок/файлов включен?

+ C:\USERS\DRREDL\DESKTOP\TOR BROWSER\DOCUMENT.EXE - этот файл Вам известен?

Если неизвестен, то его тоже пришлите в архиве с паролем virus.

 

[akok]

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected") - смотрите, что удаляете.

Удаляйте все найденное

 

[drredl]

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected") - смотрите, что удаляете.

Удаляйте все найденное

Вы можете с расшифровкой файлов?

 

[akok]

Вы можете с расшифровкой файлов?

Ждите ответа @thyrex он занимается возможностью расшифровки. Но в начале лечение, если конечно система не под форматирование.

Забыл, после чистки MBAM подготовьте свежий лог (MBAM) для контроля.

Смените пароль на RDP.

Сделали?

 

[drredl]

Ждите ответа @thyrex он занимается возможностью расшифровки. Но в начале лечение, если конечно система не под форматирование.

Забыл, после чистки MBAM подготовьте свежий лог (MBAM) для контроля.

Сделали?

да сменили пароль на RDP

 

[akok]

C:\MSSCache\folo21.exe - папка/файл существуют?

 

[drredl]

C:\MSSCache\folo21.exe - папка/файл существуют?

да, выслать в архиве с паролем?

 

[akok]

Высылайте, а у себя удалите, это вредоносное ПО.

 

[drredl]

Высылайте, а у себя удалите, это вредоносное ПО.