Закрыто прошу помощи с расшифровкой email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016

Статус
В этой теме нельзя размещать новые ответы.

panzermaster

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
На выходных видимо поймали, DrWeb Security Space 12 пропустил. Зашифрованы все пользовательские файлы.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,282
Реакции
1,799
Баллы
563
Здравствуйте!

При сборе логов желательно всё лишнее отключать (в т.ч. CureIt), как и описано в инструкции.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\user_buh\appdata\local\temp\wxyyaabccd.exe');
 QuarantineFile('c:\users\user_buh\appdata\local\temp\wxyyaabccd.exe', '');
 DeleteFile('c:\users\user_buh\appdata\local\temp\wxyyaabccd.exe', '');
 DeleteFile('C:\Users\user_buh\AppData\Local\Temp\WXYYAABCCD.exe', '32');
 DeleteFile('C:\Users\user_buh\AppData\Local\Temp\WXYYAABCCD.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '2121403068', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '2121403068', '64');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis:
Код:
O4 - MSConfig\startupreg: AdobeAAM [command] = C:\ProgramData\AdobeAAM\NetFramework.exe (HKCU) (2018/12/21)
O4 - MSConfig\startupreg: workout.exe [command] = C:\Users\Public\workout.exe (HKLM) (2018/10/25)
O4-32 - HKLM\..\Run: [3312347] = 3312347  (file missing)
O4-32 - HKLM\..\Run: [437487] = 437487  (file missing)
O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 
  • Like
Реакции: akok

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,282
Реакции
1,799
Баллы
563
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,282
Реакции
1,799
Баллы
563
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    2019-05-13 12:44 - 2019-05-13 12:44 - 000000064 _____ C:\README.txt
    2019-05-11 02:16 - 2019-05-13 12:38 - 000001288 _____ C:\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-%tс7шҐ{ENCRYPTSTART}{1028}{.fname-README.txt.doubleoffset
    2019-05-11 02:16 - 2019-05-11 02:21 - 000001296 _____ C:\Users\user_buh\README.txt
    2019-05-11 02:16 - 2019-05-11 02:20 - 000001296 _____ C:\Users\user_buh\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 02:16 - 2019-05-11 02:19 - 000001296 _____ C:\Users\README.txt
    2019-05-11 02:16 - 2019-05-11 02:16 - 000000064 _____ C:\Users\user_buh\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-11 02:15 - 2019-05-11 02:21 - 000001296 _____ C:\Users\user_buh\Downloads\README.txt
    2019-05-11 02:15 - 2019-05-11 02:19 - 000001296 _____ C:\Users\user_buh\Downloads\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 02:14 - 2019-05-11 02:21 - 000001296 _____ C:\Users\user_buh\Documents\README.txt
    2019-05-11 02:14 - 2019-05-11 02:21 - 000001296 _____ C:\Users\user_buh\AppData\Roaming\README.txt
    2019-05-11 02:14 - 2019-05-11 02:21 - 000001296 _____ C:\Users\user_buh\AppData\README.txt
    2019-05-11 02:14 - 2019-05-11 02:19 - 000001296 _____ C:\Users\user_buh\Documents\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 02:14 - 2019-05-11 02:19 - 000001296 _____ C:\Users\user_buh\Desktop\README.txt
    2019-05-11 02:14 - 2019-05-11 02:19 - 000001296 _____ C:\Users\user_buh\AppData\Roaming\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 02:14 - 2019-05-11 02:19 - 000001296 _____ C:\Users\user_buh\AppData\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 02:14 - 2019-05-11 02:16 - 000001296 _____ C:\Users\user_buh\Desktop\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 02:13 - 2019-05-11 02:21 - 000001296 _____ C:\Users\user_buh\AppData\LocalLow\README.txt
    2019-05-11 02:13 - 2019-05-11 02:19 - 000001296 _____ C:\Users\user_buh\AppData\LocalLow\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 02:13 - 2019-05-11 02:19 - 000001296 _____ C:\Users\user_buh\AppData\Local\README.txt
    2019-05-11 02:06 - 2019-05-11 02:19 - 000001296 _____ C:\Users\DefaultAccount\AppData\Local\README.txt
    2019-05-11 02:05 - 2019-05-13 12:36 - 000001288 _____ C:\Program Files (x86)\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-%tс7шҐ{ENCRYPTSTART}{1028}{.fname-README.txt.doubleoffset
    2019-05-11 02:05 - 2019-05-13 12:36 - 000000064 _____ C:\Program Files (x86)\README.txt
    2019-05-11 02:00 - 2019-05-13 12:35 - 000001288 _____ C:\Program Files\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-%tс7шҐ{ENCRYPTSTART}{1028}{.fname-README.txt.doubleoffset
    2019-05-11 02:00 - 2019-05-13 12:35 - 000001288 _____ C:\Program Files\Common Files\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-%tс7шҐ{ENCRYPTSTART}{1028}{.fname-README.txt.doubleoffset
    2019-05-11 02:00 - 2019-05-13 12:35 - 000000064 _____ C:\Program Files\README.txt
    2019-05-11 02:00 - 2019-05-13 12:35 - 000000064 _____ C:\Program Files\Common Files\README.txt
    2019-05-11 02:00 - 2019-05-11 02:06 - 000001296 _____ C:\Users\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:52 - 2019-05-11 02:19 - 000001296 _____ C:\Users\Public\README.txt
    2019-05-11 01:52 - 2019-05-11 02:19 - 000001296 _____ C:\Users\Public\Downloads\README.txt
    2019-05-11 01:52 - 2019-05-11 02:19 - 000001296 _____ C:\Users\DefaultAccount\README.txt
    2019-05-11 01:52 - 2019-05-11 02:19 - 000001296 _____ C:\Users\DefaultAccount\Downloads\README.txt
    2019-05-11 01:52 - 2019-05-11 02:19 - 000001296 _____ C:\Users\DefaultAccount\Documents\README.txt
    2019-05-11 01:52 - 2019-05-11 02:19 - 000001296 _____ C:\Users\DefaultAccount\Desktop\README.txt
    2019-05-11 01:52 - 2019-05-11 02:19 - 000001296 _____ C:\Users\DefaultAccount\AppData\Roaming\README.txt
    2019-05-11 01:52 - 2019-05-11 02:19 - 000001296 _____ C:\Users\DefaultAccount\AppData\README.txt
    2019-05-11 01:52 - 2019-05-11 02:19 - 000001296 _____ C:\Users\DefaultAccount\AppData\LocalLow\README.txt
    2019-05-11 01:52 - 2019-05-11 02:13 - 000001296 _____ C:\Users\user_buh\AppData\Local\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:52 - 2019-05-11 02:06 - 000001296 _____ C:\Users\Public\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:52 - 2019-05-11 02:06 - 000001296 _____ C:\Users\Public\Downloads\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:52 - 2019-05-11 02:06 - 000001296 _____ C:\Users\DefaultAccount\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:52 - 2019-05-11 02:06 - 000001296 _____ C:\Users\DefaultAccount\Downloads\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:52 - 2019-05-11 02:06 - 000001296 _____ C:\Users\DefaultAccount\Documents\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:52 - 2019-05-11 02:06 - 000001296 _____ C:\Users\DefaultAccount\Desktop\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:52 - 2019-05-11 02:06 - 000001296 _____ C:\Users\DefaultAccount\AppData\Roaming\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:52 - 2019-05-11 02:06 - 000001296 _____ C:\Users\DefaultAccount\AppData\LocalLow\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:52 - 2019-05-11 02:06 - 000001296 _____ C:\Users\DefaultAccount\AppData\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:52 - 2019-05-11 01:52 - 000000064 _____ C:\Users\DefaultAccount\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default\Downloads\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default\Documents\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default\Desktop\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default\AppData\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default\AppData\Local\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default User\Downloads\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default User\Documents\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default User\Desktop\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default User\AppData\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\ASPNET\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\ASPNET\Downloads\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\ASPNET\Documents\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\ASPNET\Desktop\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\ASPNET\AppData\Roaming\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\ASPNET\AppData\README.txt
    2019-05-11 01:50 - 2019-05-11 02:18 - 000001296 _____ C:\Users\ASPNET\AppData\LocalLow\README.txt
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\DefaultAccount\AppData\Local\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default\Downloads\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default\Documents\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default\Desktop\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default\AppData\Roaming\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default\AppData\Local\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default\AppData\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default User\Downloads\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default User\Documents\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default User\Desktop\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default User\AppData\Roaming\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default User\AppData\Local\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Default User\AppData\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\ASPNET\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\ASPNET\Downloads\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\ASPNET\Documents\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\ASPNET\Desktop\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\ASPNET\AppData\Roaming\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\ASPNET\AppData\LocalLow\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 02:05 - 000001296 _____ C:\Users\ASPNET\AppData\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:50 - 2019-05-11 01:50 - 000000064 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-11 01:50 - 2019-05-11 01:50 - 000000064 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-11 01:50 - 2019-05-11 01:50 - 000000064 _____ C:\Users\ASPNET\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-05-11 01:48 - 2019-05-11 02:18 - 000001296 _____ C:\Users\ASPNET\AppData\Local\README.txt
    2019-05-11 01:48 - 2019-05-11 02:05 - 000001296 _____ C:\Users\ASPNET\AppData\Local\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:48 - 2019-05-11 01:48 - 000000064 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-05-11 01:39 - 2019-05-11 02:06 - 000001296 _____ C:\Users\Public\Documents\README.txt
    2019-05-11 01:39 - 2019-05-11 02:06 - 000001296 _____ C:\Users\Public\Desktop\README.txt
    2019-05-11 01:39 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Все пользователи\README.txt
    2019-05-11 01:39 - 2019-05-11 02:05 - 000001296 _____ C:\Users\Все пользователи\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:39 - 2019-05-11 02:05 - 000001296 _____ C:\ProgramData\README.txt
    2019-05-11 01:39 - 2019-05-11 02:05 - 000001296 _____ C:\ProgramData\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:39 - 2019-05-11 01:52 - 000001296 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    2019-05-11 01:39 - 2019-05-11 01:52 - 000001296 _____ C:\Users\Public\Desktop\email-blackdragon43@yahoo.com_k1.ver-CL 1.5.1.0.id-2121403068-125280401880402825080016.fname-README.txt.doubleoffset
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
17,282
Реакции
13,296
Баллы
2,203
Компьютер перезапускался после выполнения скрипта FRST?
 

akok

Команда форума
Администратор
Сообщения
17,282
Реакции
13,296
Баллы
2,203
Хорошо, тогда ждите ответа от @thyrex о возможности расшифровки.
 

panzermaster

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
спасибо заранее и можно предположения как оно пролезло? rdp или почта?
 

akok

Команда форума
Администратор
Сообщения
17,282
Реакции
13,296
Баллы
2,203
Скорее всего RDP, смените пароли.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,678
Реакции
2,520
Баллы
593
Первые файлы с сообщениями вымогателей для связи появились jколо 2 часов ночи. Это явно RDP.
 
  • Like
Реакции: akok

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,678
Реакции
2,520
Баллы
593
Вижу, что предыдущийслучай с шифратором Scarab ничему не научил в плане информационной безопасности.

Информация по расшифровке отправлена в ЛС.
 

panzermaster

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Пока что все попытки не удались - пишет в графе Unknown Errors.
Возможно я приложил неудачные файлы. Прикладываю архив с другой парой.
Там оригинальные файлы (взял с другого носителя, на котором были старые копии документов) и зашифрованные именно этим криптером.
На всякий случай приложил два файла одного типа

PS Это не моя организация, меня сюда дергают когда местный админ ***** ну в общем понятно. С предыдущего случая со scarab они не сделали ничего...
 

Вложения

Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,678
Реакции
2,520
Баллы
593
Не знаю, что Вы делаете не так, но и эта пара файлов расшифровалась ключом, который я Вам отправил.
 

panzermaster

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
Хм... скачал файл архива декриптора, распаковал в папку d:\decrypt, туда же положил файл keys.txt.
Запускаю exe от имени администратора, выбираю 1 файл для расшифровки - получаю результат как на скрине. Т.е. просто кол-во файлов в графе unknown errors.
Само собой файл имеет в имени только eng (переименовывал), даже ради эксперимента переписывал в папку декриптора - результат тот же.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,678
Реакции
2,520
Баллы
593
У меня прекрасно работает и с кириллицей в имени.
 

panzermaster

Новый пользователь
Сообщения
11
Реакции
0
Баллы
1
может дело в ОС? здесь стоит W7 SP1 x64
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу