Решена без расшифровки Расшифровка email-nightmare666@cock.li.ver-CL 1.5.1.0.id

Статус
В этой теме нельзя размещать новые ответы.

kantona

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Добрый день.
Прошу помощи в расшифровке вируса.
Прикрепленый лог прилагается
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,982
Реакции
1,761
Баллы
503
Здравствуйте!

Смените пароль на RDP.

Папка
C:\Program Files\RDP Wrapper
вам известна?

Прикрепите несколько зашифрованных документов в архиве к следующему сообщению.
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

kantona

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Добрый день.
Сейчас отключены все пользователи которые подключались по RDP
Во вложений запрашиваемые Вами файлы
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,982
Реакции
1,761
Баллы
503
Последнее редактирование:

kantona

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
C:\Program Files\RDP Wrapper - папка известна.
Пароли всех пользователей поменяем.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,982
Реакции
1,761
Баллы
503
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {9F0AB906-4551-43B6-8030-1967961C0ED1} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
    2019-06-10 13:46 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Администратор.DESKTOP-H73MSCL\Downloads\README.txt
    2019-06-10 13:46 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Администратор.DESKTOP-H73MSCL\Documents\README.txt
    2019-06-10 13:46 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Администратор.DESKTOP-H73MSCL\Desktop\README.txt
    2019-06-10 13:46 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Администратор.DESKTOP-H73MSCL\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Public\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Public\Downloads\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\Documents\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\Desktop\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\AppData\Roaming\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\AppData\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\AppData\LocalLow\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Hignyk\AppData\Local\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default\Downloads\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default\Documents\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default\Desktop\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default User\Documents\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 00:47 - 2019-06-07 00:52 - 000001279 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-07 00:47 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Public\Documents\README.txt
    2019-06-07 00:32 - 2019-06-07 00:50 - 000001279 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-07 00:32 - 2019-06-07 00:50 - 000001279 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-07 00:32 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Все пользователи\README.txt
    2019-06-07 00:32 - 2019-06-07 00:50 - 000000082 _____ C:\ProgramData\README.txt
    2019-06-07 00:52 - 2017-11-23 11:24 - 000003055 _____ C:\Users\Hignyk\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-ReadMe.txt.doubleoffset
    2019-06-07 00:52 - 2017-11-23 11:24 - 000000082 _____ C:\Users\Hignyk\Downloads\README.txt
    FirewallRules: [{B042E10F-5687-4048-8C91-976C7F33E198}] => (Allow) C:\Users\Machula\AppData\Local\Temp\7zS25A6\ProductInst64.exe No File
    FirewallRules: [{42368A0F-7E09-4CEA-8EC3-F5536C1AC032}] => (Allow) C:\Users\Machula\AppData\Local\Temp\7zS25A6\ProductInst64.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

kantona

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Во вложении файл
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,982
Реакции
1,761
Баллы
503
Теперь подождите некоторое время.
 

kantona

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Добрый день.
Прошу прощения, не могли бы Вы сориентировать плюс минус по времени сколько необходимо еще ждать. Так как скоро офис закроется и охрана выгонит а доступа к ПК не будет.
Спасибо
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,982
Реакции
1,761
Баллы
503
Значит завтра продолжим (или когда у вас будет возможность).
 

kantona

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
спасибо за оперативный ответ.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,500
Реакции
2,477
Баллы
593
Увы, с расшифровкойне сможем помочь.
 

akok

Команда форума
Администратор
Сообщения
16,797
Реакции
13,200
Баллы
2,203
Алгоритм сменился, увы пока нет
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу