• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Просьба в помощи расшифровки email-nightmare666@cock.li.ver-CL 1.5.1.0.id

Lstt

Новый пользователь
Сообщения
6
Реакции
0
Доброго времени суток! Огромная просьба помочь...сегодня ночью, через протокол rdp внедрился exe-шник и зашифровал практически все файлы..(((
 

Вложения

С этой версией шифратора помочь пока не удастся, будет только зачистка следов.

RDP Wrapper - сами устанавливали?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Local\Temp\VWXXZAABBC.exe','');
 DeleteFile('C:\Users\User\AppData\Local\Temp\VWXXZAABBC.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\VWXXZAABBC.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2933153232','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2933153232','x64');
 DeleteSchedulerTask('{F818FC1F-AB1E-D219-38D9-62A6ADB75050}');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
 
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Вложения

Софт от IObit деинсталлируйте
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Высылаю файлы ответа...на расшифровку можно уже не надеяться? Вообще?
 

Вложения

на расшифровку можно уже не надеяться?
В обозримом будущем нет, но все может быть. Злоумышленники могут выдать ключи, или сервера арестуют, или удастся сломать алгоритм ав компаниям.

бекапы? Пароли на RDP сменили?
Шифрование запустили
Политики сами настраивали?
Знакомо?
2019-06-16 01:20 - 2019-06-14 01:08 - 003518464 _____ C:\Users\User\Documents\123.exe
2019-06-15 23:38 - 2019-06-10 00:23 - 000089600 _____ C:\Users\User\Documents\avtomat.exe

Проверьте список пользователей, вам могли создать нового
DD (S-1-5-21-3942719070-2052920227-1489307221-1020 - Administrator - Enabled) => C:\Users\DD
HomeGroupUser$ (S-1-5-21-3942719070-2052920227-1489307221-1007 - Limited - Enabled)
MUT (S-1-5-21-3942719070-2052920227-1489307221-1016 - Limited - Enabled)
Remote (S-1-5-21-3942719070-2052920227-1489307221-1019 - Administrator - Enabled) => C:\Users\Remote
User (S-1-5-21-3942719070-2052920227-1489307221-1001 - Administrator - Enabled) => C:\Users\User
Администратор (S-1-5-21-3942719070-2052920227-1489307221-500 - Administrator - Enabled) => C:\Users\Администратор

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [180159] => 180159
    HKLM-x32\...\Run: [22225] => 22225
    KU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {199c5696-2743-11e8-8b65-74d435b2e313} - "K:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {4d8eeade-56a5-11e5-85e6-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {4e21edc6-2fab-11e9-8cba-74d435b2e313} - "I:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {4e21edd8-2fab-11e9-8cba-74d435b2e313} - "I:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {51becac2-e378-11e4-848f-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {51becb15-e378-11e4-848f-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {51becb4e-e378-11e4-848f-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {51becbb9-e378-11e4-848f-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {598b536b-e260-11e4-848c-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {598b53e5-e260-11e4-848c-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {598b5428-e260-11e4-848c-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {80a7ebcd-26fd-11e4-82d4-002522f9b538} - "J:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {80a7ec0d-26fd-11e4-82d4-002522f9b538} - "H:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {87b54014-f606-11e4-84bd-74d435b2e313} - "H:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {9fd08908-4597-11e6-87e6-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {9fd08a2b-4597-11e6-87e6-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {b587dbee-e3f6-11e4-8496-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {b587dc3e-e3f6-11e4-8496-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {bcda4e22-3b84-11e5-8581-74d435b2e313} - "H:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {c5dc9f7f-0135-11e8-8b1f-02260339d4bf} - "K:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {c5dc9fc3-0135-11e8-8b1f-02260339d4bf} - "L:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {cf79f158-f360-11e5-873e-74d435b2e313} - "H:\Autorun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {cf79f9f6-f360-11e5-873e-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {cf79fcc7-f360-11e5-873e-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {cfba9634-420f-11e4-8314-002522f9b538} - "H:\.\setup.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {dd9f6454-3adf-11e5-857f-74d435b2e313} - "H:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {e8df4dc6-e387-11e4-8490-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {e8df4e33-e387-11e4-8490-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {ed1442cf-d80b-11e3-8252-002522f9b538} - "E:\setup.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {f46e3cc7-e2cd-11e4-848d-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {f46e3d9f-e2cd-11e4-848d-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {f7e0c0c9-2c64-11e4-82e0-002522f9b538} - "I:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {f7e0c0f5-2c64-11e4-82e0-002522f9b538} - "I:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {fcc12e2f-5c25-11e5-85f6-74d435b2e313} - "H:\Install MegaFon Internet.exe" 
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {A2ED13E9-2482-4DA4-99EF-B62C29F69642} - \{338EDB15-D3CB-6DDD-09A1-F5A80461715E} -> No File <==== ATTENTION
    Task: {D8C53A9F-C48C-43EC-B63A-1E819BAE8D9B} - \{338D3950-CD02-A931-27A0-C52175DBB3B0} -> No File <==== ATTENTION
    2019-06-16 06:44 - 2019-06-16 06:44 - 000000090 _____ C:\Users\Студияzr9ecy\README.txt
    2019-06-16 06:44 - 2019-06-16 06:44 - 000000090 _____ C:\Users\Студияzqt19\README.txt
    2019-06-16 06:44 - 2019-06-16 06:44 - 000000090 _____ C:\Users\Студияzpgt\README.txt
    2019-06-16 06:44 - 2019-06-16 06:44 - 000000090 _____ C:\Users\Студия\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\Documents\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\Desktop\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\AppData\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\AppData\Local\README.txt
    2019-06-16 06:42 - 2019-06-16 06:42 - 000000090 _____ C:\Users\User\README.txt
    2019-06-16 06:41 - 2019-06-16 06:41 - 000000090 _____ C:\Users\User\Downloads\README.txt
    2019-06-16 06:41 - 2019-06-16 06:41 - 000000090 _____ C:\Users\User\Documents\README.txt
    2019-06-16 06:39 - 2019-06-16 06:39 - 000000090 _____ C:\Users\User\Desktop\README.txt
    2019-06-16 06:39 - 2019-06-16 06:39 - 000000090 _____ C:\Users\User\AppData\Roaming\README.txt
    2019-06-16 06:35 - 2019-06-16 06:44 - 000001287 _____ C:\Users\Студияzr9ecy\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:35 - 2019-06-16 06:44 - 000001287 _____ C:\Users\Студияzqt19\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:35 - 2019-06-16 06:44 - 000001287 _____ C:\Users\Студияzpgt\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:35 - 2019-06-16 06:44 - 000001287 _____ C:\Users\Студия\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:35 - 2019-06-16 06:35 - 000000090 _____ C:\Users\README.txt
    2019-06-16 06:35 - 2019-06-16 06:35 - 000000090 _____ C:\README.txt
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:42 - 000001287 _____ C:\Users\User\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:41 - 000001287 _____ C:\Users\User\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:31 - 000000090 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 06:31 - 2019-06-16 06:31 - 000000090 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 06:30 - 2019-06-16 06:41 - 000001287 _____ C:\Users\User\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:29 - 2019-06-16 06:39 - 000001287 _____ C:\Users\User\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:29 - 2019-06-16 06:37 - 000001287 _____ C:\Users\User\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:29 - 2019-06-16 06:29 - 000000090 _____ C:\Users\User\AppData\README.txt
    2019-06-16 06:15 - 2019-06-16 06:15 - 000000090 _____ C:\Users\User\AppData\LocalLow\README.txt
    2019-06-16 06:09 - 2019-06-16 06:15 - 000001287 _____ C:\Users\User\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:09 - 2019-06-16 06:14 - 000001287 _____ C:\Users\User\AppData\Local\README.txt
    2019-06-16 05:52 - 2019-06-16 06:09 - 000001287 _____ C:\Users\User\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 05:52 - 2019-06-16 05:52 - 000001287 _____ C:\Users\User\AppData\Local\Apps\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 05:52 - 2019-06-16 05:52 - 000000090 _____ C:\Users\User\AppData\Local\Apps\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\Documents\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\Desktop\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\AppData\Roaming\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\AppData\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\AppData\LocalLow\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\AppData\Local\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Public\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Public\Downloads\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Denis\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Denis\Documents\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Denis\AppData\Roaming\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Denis\AppData\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Denis\AppData\LocalLow\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Denis\AppData\Local\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default\Documents\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default\AppData\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default User\Documents\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default User\AppData\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\Documents\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\Desktop\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\AppData\Roaming\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\AppData\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\AppData\LocalLow\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\AppData\Local\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Acronis Agent User\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Acronis Agent User\Documents\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Acronis Agent User\AppData\Roaming\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Acronis Agent User\AppData\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Acronis Agent User\AppData\LocalLow\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Acronis Agent User\AppData\Local\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Ab1rg\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Aaz7pitz\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Aayxvg6\README.txt
    2019-06-16 05:02 - 2019-06-16 05:02 - 000000090 _____ C:\Program Files (x86)\README.txt
    2019-06-16 04:34 - 2019-06-16 04:34 - 000000090 _____ C:\Program Files\README.txt
    2019-06-16 04:15 - 2019-06-16 04:15 - 000000090 _____ C:\Program Files\Common Files\README.txt
    2019-06-16 03:38 - 2019-06-16 05:10 - 000001287 _____ C:\Users\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Public\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Public\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Public\Documents\README.txt
    2019-06-16 03:29 - 2019-06-16 03:29 - 000000090 _____ C:\Users\Remote\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Public\Desktop\README.txt
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Denis\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Denis\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Denis\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Denis\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Denis\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Denis\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default User\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default User\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default User\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default User\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 03:28 - 000000090 _____ C:\Users\Denis\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:28 - 2019-06-16 03:28 - 000000090 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:28 - 2019-06-16 03:28 - 000000090 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:28 - 2019-06-16 03:28 - 000000090 _____ C:\Users\DD\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:28 - 2019-06-16 03:28 - 000000090 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:27 - 2019-06-16 03:29 - 000001287 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:27 - 2019-06-16 03:28 - 000001287 _____ C:\Users\Public\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:26 - 2019-06-16 03:28 - 000001287 _____ C:\Users\Все пользователи\README.txt
    2019-06-16 03:26 - 2019-06-16 03:28 - 000001287 _____ C:\ProgramData\README.txt
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Acronis Agent User\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Acronis Agent User\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Acronis Agent User\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Acronis Agent User\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Acronis Agent User\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Acronis Agent User\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Ab1rg\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 03:25 - 000000090 _____ C:\Users\Acronis Agent User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:24 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Aaz7pitz\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:24 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Aayxvg6\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
бекапы? Пароли на RDP сменили? - да, хорошо, что самое ценное было..
пароль сменил..
DD (S-1-5-21-3942719070-2052920227-1489307221-1020 - Administrator - Enabled) => C:\Users\DD - это его и создали..((( - уже удалил
Спасибо огромное за помощь..!
 

Вложения

Это сам шифратор. Удаляйте.

Проверьте на virustotal.com и пришлите ссылку на результат анализа.
Это сам шифратор. Удаляйте.

Проверьте на virustotal.com и пришлите ссылку на результат анализа.
ОК, спасибо!
 
123.exe - тоже удаляйте.
 
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
@Lstt, постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
 
  • Like
Реакции: akok
Назад
Сверху Снизу