• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помогите с расшифровкой файлов email-nightmare666@cock.li.ver-CL 1.5.1.0.id

drredl

Новый пользователь
Сообщения
9
Реакции
0
Баллы
11
Во вложении логи и 2 зашифрованных файла.
 

Вложения

  • вирусы.rar
    21.3 KB · Просмотры: 7
  • CollectionLog-2019.06.03-13.59.zip
    93.3 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,803
Реакции
2,344
Баллы
653
Здравствуйте!

Смените пароль на RDP.
Пересмотрите открытые в системе ресурсы:
На все ли нужен общий доступ?

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,879
Реакции
2,582
Баллы
593
+
C:\Windows\Temp\100.210.63.235.exe
C:\Windows\Temp\106.106.106.106.exe
C:\Windows\Temp\210.199.95.168.exe
C:\Windows\Temp\236.247.191.236.exe
если эти файлы Вам неизвестны, заархивируйте их с паролем virus и прикрепите к следующему сообщению.
 

drredl

Новый пользователь
Сообщения
9
Реакции
0
Баллы
11
Эти файлы отсутствуют в папке Temp
отчеты программы во вложении
 

Вложения

  • Addition.txt
    91.1 KB · Просмотры: 1
  • FRST.txt
    201.8 KB · Просмотры: 2
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,803
Реакции
2,344
Баллы
653
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\RunOnce: [{CDFBA5E5-798C-478F-90C9-442402649055}] => cmd.exe /C start /D "C:\Users\drredl\AppData\Local\Temp" /B {CDFBA5E5-798C-478F-90C9-442402649055}.cmd
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    Task: {12D04390-20C2-4EB1-9A08-7AD7CE64ECD7} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
    Task: {2370FF84-1C5C-44AF-83C6-37EF6BD150CE} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachineGU => C:\Windows\SysWOW64\Microsoft\Protect\S-1-17-57\RB_1.4.59.54.exe <==== ATTENTION
    CHR HKU\S-1-5-21-1592555558-845544997-788582629-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fahheakdhoeoigmafejkehdoeikpgdfp] - hxxps://clients2.google.com/service/update2/crx
    C:\Users\drredl\AppData\Roaming\Opera Software\Opera Stable\Extensions\bcfnnbdaocdnkmneglmfiaolianijghh
    C:\Users\drredl\AppData\Roaming\Opera Software\Opera Stable\Extensions\depfhamdeinjchcpddlpmjiiigdpbeii
    S3 mvdM23; \??\C:\Users\drredl\AppData\Local\Temp\mvdM23.sys [X] <==== ATTENTION
    FF SearchPlugin: C:\Users\drredl\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset [2019-06-02]
    FF SearchPlugin: C:\Users\drredl\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\README.txt [2019-06-02]
    2019-06-02 04:47 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\AppData\Roaming\README.txt
    2019-06-02 04:47 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\AppData\README.txt
    2019-06-02 04:47 - 2019-06-02 04:47 - 000000103 _____ C:\Program Files (x86)\README.txt
    2019-06-02 04:45 - 2019-06-02 04:45 - 000000103 _____ C:\Program Files\README.txt
    2019-06-02 04:45 - 2019-06-02 04:45 - 000000103 _____ C:\Program Files\Common Files\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Public\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Public\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\MSSQLSERVER\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Public\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Public\Downloads\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\Downloads\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\Documents\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\Desktop\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\AppData\Roaming\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\AppData\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\MSSQLSERVER\AppData\Local\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\Downloads\README.txt
    2019-06-02 04:21 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\Documents\README.txt
    2019-06-02 04:21 - 2019-06-02 04:21 - 000000103 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-02 04:21 - 2019-06-02 04:21 - 000000103 _____ C:\Users\drredl\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-02 04:20 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:20 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:20 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:20 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\Desktop\README.txt
    2019-06-02 04:18 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:18 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\AppData\LocalLow\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\AppData\Local\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\drredl\AppData\Local\Apps\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default User\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default User\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default User\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default User\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default User\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Default User\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\drredl\AppData\Local\Apps\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\Downloads\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\Documents\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\Desktop\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\AppData\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default User\Documents\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default User\AppData\README.txt
    2019-06-02 04:17 - 2019-06-02 04:47 - 000000103 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-02 04:17 - 2019-06-02 04:17 - 000001336 _____ C:\Users\drredl\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:17 - 2019-06-02 04:17 - 000000103 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-02 04:17 - 2019-06-02 04:17 - 000000103 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-02 04:16 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Public\Documents\README.txt
    2019-06-02 04:16 - 2019-06-02 04:47 - 000001336 _____ C:\Users\Public\Desktop\README.txt
    2019-06-02 04:16 - 2019-06-02 04:21 - 000001336 _____ C:\Users\Все пользователи\README.txt
    2019-06-02 04:16 - 2019-06-02 04:21 - 000001336 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:16 - 2019-06-02 04:21 - 000001336 _____ C:\Users\Public\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:16 - 2019-06-02 04:21 - 000001336 _____ C:\ProgramData\README.txt
    2019-06-02 04:16 - 2019-06-02 04:16 - 000001336 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:16 - 2019-06-02 04:16 - 000001336 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-2691401878-134900911976607922904072.fname-README.txt.doubleoffset
    2019-06-02 04:16 - 2019-06-02 04:16 - 000000103 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,879
Реакции
2,582
Баллы
593
Эти файлы отсутствуют в папке Temp
Естественно, что за время, прошедшее между Вашими ответами, может произойти, что угодно. Даже если было тело вируса, оно прекрасно могло самоудалиться.
 

drredl

Новый пользователь
Сообщения
9
Реакции
0
Баллы
11
Во вложении лог-файл
 

Вложения

  • Fixlog.txt
    24 KB · Просмотры: 1

drredl

Новый пользователь
Сообщения
9
Реакции
0
Баллы
11
во вложении лог файл
 

Вложения

  • mabm_log.txt
    12 KB · Просмотры: 4

akok

Команда форума
Администратор
Сообщения
20,043
Реакции
13,701
Баллы
2,203
C:\WINDOWS\TEMP\210.199.95.168.EXE - судя по логу существует. Показ скрытых папок/файлов включен?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,879
Реакции
2,582
Баллы
593
+ C:\USERS\DRREDL\DESKTOP\TOR BROWSER\DOCUMENT.EXE - этот файл Вам известен?

Если неизвестен, то его тоже пришлите в архиве с паролем virus.
 

drredl

Новый пользователь
Сообщения
9
Реакции
0
Баллы
11
прикреп
C:\WINDOWS\TEMP\210.199.95.168.EXE - судя по логу существует. Показ скрытых папок/файлов включен?
+ C:\USERS\DRREDL\DESKTOP\TOR BROWSER\DOCUMENT.EXE - этот файл Вам известен?

Если неизвестен, то его тоже пришлите в архиве с паролем virus.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
20,043
Реакции
13,701
Баллы
2,203
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected") - смотрите, что удаляете.

Удаляйте все найденное
 

drredl

Новый пользователь
Сообщения
9
Реакции
0
Баллы
11
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected") - смотрите, что удаляете.

Удаляйте все найденное
Вы можете с расшифровкой файлов?
 

akok

Команда форума
Администратор
Сообщения
20,043
Реакции
13,701
Баллы
2,203
Вы можете с расшифровкой файлов?
Ждите ответа @thyrex он занимается возможностью расшифровки. Но в начале лечение, если конечно система не под форматирование.

Забыл, после чистки MBAM подготовьте свежий лог (MBAM) для контроля.
Смените пароль на RDP.
Сделали?
 

drredl

Новый пользователь
Сообщения
9
Реакции
0
Баллы
11
Ждите ответа @thyrex он занимается возможностью расшифровки. Но в начале лечение, если конечно система не под форматирование.

Забыл, после чистки MBAM подготовьте свежий лог (MBAM) для контроля.

Сделали?
да сменили пароль на RDP
 

akok

Команда форума
Администратор
Сообщения
20,043
Реакции
13,701
Баллы
2,203
C:\MSSCache\folo21.exe - папка/файл существуют?
 

akok

Команда форума
Администратор
Сообщения
20,043
Реакции
13,701
Баллы
2,203
Высылайте, а у себя удалите, это вредоносное ПО.
 
Сверху Снизу