• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Помощь в расшифровке файлов 3nity@tuta.io

NYZNKC

Новый пользователь
Сообщения
12
Реакции
0
Добрый день!
Ночью в сеть вторгся хакер и вручную зашифровал ряд важных файлов. Высылаю Вам лог с помощью AutoLogger.exe, программу которой он шифровал и несколько зашифрованных файлов
 

Вложения

  • CollectionLog-2019.06.28-09.10.zip
    47.4 KB · Просмотры: 5
  • CollectionLog-2019.06.28-09.23.zip
    47.3 KB · Просмотры: 2
Файлы зашифрованы разными ключами. Значит, была как минимум одна перезагрузка системы.


Выполните скрипт в AVZ из папки Autologger
Код:
begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('KProcessHacker3', 4);
 TerminateProcessByName('c:\users\administrator\desktop\manual.exe');
 DeleteFile('c:\users\administrator\desktop\manual.exe','32');
 DeleteFile('C:\Users\Administrator\Desktop\taskmgr\x64\kprocesshacker.sys','64');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.txt','64');
 DeleteService('KProcessHacker3');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 
Скрипт выполнил, компьютер перезагрузил. Прилагаю новый лог
 

Вложения

  • CollectionLog-2019.06.28-11.36.zip
    47.5 KB · Просмотры: 0
Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
готово
 

Вложения

  • FRST_Addition.rar
    18.1 KB · Просмотры: 1
1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
2019-06-28 01:45 - 2019-06-28 01:45 - 000000061 _____ C:\Users\README.txt
2019-06-28 01:45 - 2019-06-28 01:45 - 000000061 _____ C:\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Администратор\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Администратор\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Администратор\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Администратор\AppData\Local\Temp\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Zorin\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Zorin\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Zorin\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Zorin\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Zorin\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Zorin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Zorin\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Zorin\AppData\LocalLow\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Zorin\AppData\Local\Temp\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\support-nkc\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\support-nkc\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\support-nkc\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\support-nkc\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\support-nkc\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\support-nkc\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\support-nkc\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\support-nkc\AppData\LocalLow\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\support-nkc\AppData\Local\Temp\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\standby\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\standby\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\standby\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\standby\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\standby\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\standby\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\standby\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\standby\AppData\LocalLow\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\standby\AppData\Local\Temp\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\SadykovRM\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\SadykovRM\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\SadykovRM\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\SadykovRM\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\SadykovRM\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\SadykovRM\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\SadykovRM\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\SadykovRM\AppData\LocalLow\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\SadykovRM\AppData\Local\Temp\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Public\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Public\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\KSC_service\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\KSC_service\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\KSC_service\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\KSC_service\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\KSC_service\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\KSC_service\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\KSC_service\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\KSC_service\AppData\LocalLow\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\KSC_service\AppData\Local\Temp\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\kibardinsv\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\kibardinsv\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\kibardinsv\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\kibardinsv\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\kibardinsv\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\kibardinsv\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\kibardinsv\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\kibardinsv\AppData\LocalLow\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\kibardinsv\AppData\Local\Temp\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\k.goncharov\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\k.goncharov\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\k.goncharov\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\k.goncharov\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\k.goncharov\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\k.goncharov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\k.goncharov\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\k.goncharov\AppData\LocalLow\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\k.goncharov\AppData\Local\Temp\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\interin\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\interin\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\interin\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\interin\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\interin\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\interin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\interin\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\interin\AppData\LocalLow\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\interin\AppData\Local\Temp\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\I.Golovin\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\I.Golovin\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\I.Golovin\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\I.Golovin\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\I.Golovin\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\I.Golovin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\I.Golovin\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\I.Golovin\AppData\LocalLow\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\I.Golovin\AppData\Local\Temp\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default\AppData\Local\Temp\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default User\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default User\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\bozhko\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\bozhko\Downloads\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\bozhko\Documents\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\bozhko\Desktop\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\bozhko\AppData\Roaming\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\bozhko\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\bozhko\AppData\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\bozhko\AppData\LocalLow\README.txt
2019-06-28 01:43 - 2019-06-28 01:43 - 000000061 _____ C:\Users\bozhko\AppData\Local\Temp\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\Administrator\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\Administrator\Downloads\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\Administrator\Documents\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\Administrator\Desktop\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\Administrator\AppData\Roaming\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\Administrator\AppData\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\Administrator\AppData\LocalLow\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\Administrator\AppData\Local\Temp\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\adm\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\adm\Downloads\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\adm\Documents\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\adm\Desktop\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\adm\AppData\Roaming\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\adm\AppData\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\adm\AppData\LocalLow\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\adm\AppData\Local\Temp\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cwork\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cwork\Downloads\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cwork\Documents\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cwork\Desktop\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cwork\AppData\Roaming\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cwork\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cwork\AppData\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cwork\AppData\LocalLow\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cwork\AppData\Local\Temp\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cdocs\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cdocs\Downloads\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cdocs\Documents\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cdocs\Desktop\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cdocs\AppData\Roaming\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cdocs\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cdocs\AppData\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cdocs\AppData\LocalLow\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Users\1cdocs\AppData\Local\Temp\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:17 - 2019-06-28 01:45 - 000000777 _____ C:\Users\Все пользователи\README.txt
2019-06-28 01:17 - 2019-06-28 01:45 - 000000777 _____ C:\ProgramData\README.txt
2019-06-28 01:17 - 2019-06-28 01:43 - 000000777 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
2019-06-28 01:17 - 2019-06-28 01:43 - 000000777 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
2019-06-28 01:17 - 2019-06-28 01:43 - 000000777 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
2019-06-28 01:17 - 2019-06-28 01:43 - 000000777 _____ C:\ProgramData\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
2019-06-28 01:17 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Public\Documents\README.txt
2019-06-28 01:17 - 2019-06-28 01:43 - 000000061 _____ C:\Users\Public\Desktop\README.txt
2019-06-28 01:17 - 2019-06-28 01:17 - 000000061 _____ C:\Program Files\README.txt
2019-06-28 01:17 - 2019-06-28 01:17 - 000000061 _____ C:\Program Files (x86)\README.txt
2019-06-28 01:16 - 2019-06-28 01:43 - 000000777 _____ C:\Users\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
2019-06-28 01:16 - 2019-06-28 01:16 - 000000061 _____ C:\Program Files\Common Files\README.txt
2019-06-28 01:14 - 2019-06-28 01:41 - 000000000 ____D C:\Users\Administrator\AppData\Roaming\Process Hacker 2
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
 
выполнил
 

Вложения

  • Fixlog.txt
    28.2 KB · Просмотры: 1
Один ключ подошел для некоторых файлов. Злоумышленник использовал разные ключи, и к основной части важных файлов не подошел.. Мы можем попробовать скинуть Вам лог AutoLogger.exe с другого сервера?
 
Вот новый лог с нового сервера из AutoLogger.exe
 

Вложения

  • CollectionLog-2019.06.28-13.54.zip
    45.1 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
Выполнил
 

Вложения

  • frst_addition.rar
    15.9 KB · Просмотры: 1
Увы, будет только чистка мусора.

1. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Администратор\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Администратор\Documents\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Администратор\Desktop\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Администратор\AppData\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Администратор\AppData\Local\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\zorin\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\zorin\Downloads\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\zorin\Documents\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\zorin\Desktop\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\zorin\AppData\Roaming\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\zorin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\zorin\AppData\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\zorin\AppData\LocalLow\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\zorin\AppData\Local\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\support-nkc\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\support-nkc\Downloads\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\support-nkc\Documents\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\support-nkc\Desktop\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\support-nkc\AppData\Roaming\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\support-nkc\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\support-nkc\AppData\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\support-nkc\AppData\LocalLow\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\support-nkc\AppData\Local\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\standby\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\standby\Downloads\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\standby\Documents\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\standby\Desktop\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\standby\AppData\Roaming\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\standby\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\standby\AppData\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\standby\AppData\LocalLow\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\standby\AppData\Local\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\SadykovRM\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\SadykovRM\Downloads\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\SadykovRM\Documents\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\SadykovRM\Desktop\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\SadykovRM\AppData\Roaming\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\SadykovRM\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\SadykovRM\AppData\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\SadykovRM\AppData\LocalLow\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\SadykovRM\AppData\Local\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Public\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Public\Downloads\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\KibardinSV\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\KibardinSV\Downloads\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\KibardinSV\Documents\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\KibardinSV\Desktop\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\KibardinSV\AppData\Roaming\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\KibardinSV\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\KibardinSV\AppData\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\Users\KibardinSV\AppData\LocalLow\README.txt
2019-06-28 01:52 - 2019-06-28 01:52 - 000000061 _____ C:\README.txt
2019-06-28 01:51 - 2019-06-28 01:51 - 000000061 _____ C:\Users\KibardinSV\AppData\Local\README.txt
2019-06-28 01:51 - 2019-06-28 01:51 - 000000061 _____ C:\Users\interin\README.txt
2019-06-28 01:51 - 2019-06-28 01:51 - 000000061 _____ C:\Users\interin\Downloads\README.txt
2019-06-28 01:51 - 2019-06-28 01:51 - 000000061 _____ C:\Users\interin\Documents\README.txt
2019-06-28 01:51 - 2019-06-28 01:51 - 000000061 _____ C:\Users\interin\Desktop\README.txt
2019-06-28 01:51 - 2019-06-28 01:51 - 000000061 _____ C:\Users\interin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\interin\AppData\Roaming\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\interin\AppData\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\interin\AppData\LocalLow\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\interin\AppData\Local\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\I.Golovin\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\I.Golovin\Downloads\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\I.Golovin\Documents\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\I.Golovin\Desktop\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\I.Golovin\AppData\Roaming\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\I.Golovin\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\I.Golovin\AppData\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\I.Golovin\AppData\LocalLow\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\I.Golovin\AppData\Local\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default\Downloads\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default\Documents\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default\Desktop\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default\AppData\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default User\Downloads\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default User\Documents\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default User\Desktop\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default User\AppData\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\bozhko\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\bozhko\Downloads\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\bozhko\Documents\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\bozhko\Desktop\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\bozhko\AppData\Roaming\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\bozhko\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\bozhko\AppData\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\bozhko\AppData\LocalLow\README.txt
2019-06-28 01:47 - 2019-06-28 01:47 - 000000061 _____ C:\Users\bozhko\AppData\Local\README.txt
2019-06-28 01:46 - 2019-06-28 01:46 - 000000061 _____ C:\Users\adm\README.txt
2019-06-28 01:46 - 2019-06-28 01:46 - 000000061 _____ C:\Users\adm\Downloads\README.txt
2019-06-28 01:46 - 2019-06-28 01:46 - 000000061 _____ C:\Users\adm\Documents\README.txt
2019-06-28 01:46 - 2019-06-28 01:46 - 000000061 _____ C:\Users\adm\Desktop\README.txt
2019-06-28 01:46 - 2019-06-28 01:46 - 000000061 _____ C:\Users\adm\AppData\Roaming\README.txt
2019-06-28 01:46 - 2019-06-28 01:46 - 000000061 _____ C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:46 - 2019-06-28 01:46 - 000000061 _____ C:\Users\adm\AppData\README.txt
2019-06-28 01:46 - 2019-06-28 01:46 - 000000061 _____ C:\Users\adm\AppData\LocalLow\README.txt
2019-06-28 01:46 - 2019-06-28 01:46 - 000000061 _____ C:\Users\adm\AppData\Local\README.txt
2019-06-28 01:46 - 2019-06-28 01:46 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-06-28 01:41 - 2019-06-28 01:52 - 000000777 _____ C:\Users\Все пользователи\README.txt
2019-06-28 01:41 - 2019-06-28 01:52 - 000000777 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
2019-06-28 01:41 - 2019-06-28 01:52 - 000000777 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
2019-06-28 01:41 - 2019-06-28 01:52 - 000000777 _____ C:\ProgramData\README.txt
2019-06-28 01:41 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Public\Documents\README.txt
2019-06-28 01:41 - 2019-06-28 01:52 - 000000061 _____ C:\Users\Public\Desktop\README.txt
2019-06-28 01:41 - 2019-06-28 01:47 - 000000777 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
2019-06-28 01:41 - 2019-06-28 01:47 - 000000777 _____ C:\ProgramData\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Program Files\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Program Files\Common Files\README.txt
2019-06-28 01:41 - 2019-06-28 01:41 - 000000061 _____ C:\Program Files (x86)\README.txt
2019-06-28 00:55 - 2019-06-28 01:52 - 000000777 _____ C:\Users\email-3nity@tuta.io.ver-CS 1.6.id-.fname-README.txt.cs16
2019-06-28 00:52 - 2019-06-28 01:51 - 000000000 ____D C:\Users\interin\Documents\taskmgr
2019-06-28 00:28 - 2019-06-28 01:47 - 000000000 ____D C:\Users\interin\AppData\Roaming\Process Hacker 2
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
 
  • Like
Реакции: akok
Звучит конечно не очень обнадеживающи(((
 

Вложения

  • Fixlog.txt
    20.8 KB · Просмотры: 0
Увы, не все в наших силах.
 
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Ознакомьтесь: Рекомендации после лечения
 
В сети работало несколько шифровальщиков, есть еще один сервер,на котором возможно получится расшифровать какие нибудь данные. Прилагаю лог с другого сервера, на котором работал другой шифровальщик. Эксперты, дайте пожалуйста свой комментарий по этому поводу! Спасибо!!!
 

Вложения

  • CollectionLog-2019.06.29-16.36.zip
    56.3 KB · Просмотры: 2
Назад
Сверху Снизу