Решена с расшифровкой. расшифровка hopeandhonest@smime.ninja

[Pljushevij]

Добрый день
Помогите пожалуйста с расшифровкой файлов. Отчёт от AutoLogger и пример зашифрованного файла прилагаю.

 

[thyrex]

Отчёт от AutoLogger

И где он?

Хотя нужно совсем другое.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[Pljushevij]

Ок. Вот два лог файла + ссылка на отчёт от Kaspersky GetSystemInfo:

тыц

 

[thyrex]

1c (S-1-5-21-40016899-82056255-2639040639-1003 - Administrator - Enabled) => C:\Users\1c
Admin (S-1-5-21-40016899-82056255-2639040639-1001 - Administrator - Enabled) => C:\Users\Admin
User (S-1-5-21-40016899-82056255-2639040639-1000 - Administrator - Enabled) => C:\Users\User

слишком много учеток с административными правами.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-12] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-12] () [File not signed]
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-12] () [File not signed]
Startup: C:\Users\neodent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-12] () [File not signed]
Startup: C:\Users\1c\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-12] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-12] () [File not signed]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-08-12] () [File not signed]
2022-08-12 21:32 - 2022-08-12 21:32 - 000001794 _____ C:\Users\User\how_to_decrypt.hta
2022-08-12 21:32 - 2022-08-12 21:32 - 000001794 _____ C:\Users\User\Downloads\how_to_decrypt.hta
2022-08-12 21:32 - 2022-08-12 21:32 - 000001794 _____ C:\Users\User\Documents\how_to_decrypt.hta
2022-08-12 21:32 - 2022-08-12 21:32 - 000001794 _____ C:\Users\User\Desktop\how_to_decrypt.hta
2022-08-12 21:32 - 2022-08-12 21:32 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-12 21:32 - 2022-08-12 21:32 - 000001794 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-12 21:32 - 2022-08-12 21:32 - 000001794 _____ C:\Users\User\AppData\Roaming\how_to_decrypt.hta
2022-08-12 21:32 - 2022-08-12 21:32 - 000001794 _____ C:\Users\User\AppData\how_to_decrypt.hta
2022-08-12 21:32 - 2022-08-12 21:32 - 000001794 _____ C:\how_to_decrypt.hta
2022-08-12 21:31 - 2022-08-12 21:31 - 000001794 _____ C:\Users\User\AppData\LocalLow\how_to_decrypt.hta
2022-08-12 21:29 - 2022-08-12 21:29 - 000001794 _____ C:\Users\User\AppData\Local\how_to_decrypt.hta
2022-08-12 21:29 - 2022-08-12 21:29 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
2022-08-12 21:29 - 2022-08-12 21:29 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2022-08-12 21:29 - 2022-08-12 21:29 - 000001794 _____ C:\Users\neodent\how_to_decrypt.hta
2022-08-12 21:29 - 2022-08-12 21:29 - 000001794 _____ C:\Users\neodent\Downloads\how_to_decrypt.hta
2022-08-12 21:29 - 2022-08-12 21:29 - 000001794 _____ C:\Users\neodent\Documents\how_to_decrypt.hta
2022-08-12 21:29 - 2022-08-12 21:29 - 000001794 _____ C:\Users\neodent\Desktop\how_to_decrypt.hta
2022-08-12 21:29 - 2022-08-12 21:29 - 000001794 _____ C:\Users\neodent\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-12 21:29 - 2022-08-12 21:29 - 000001794 _____ C:\Users\neodent\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-12 21:29 - 2022-08-12 21:29 - 000001794 _____ C:\Users\neodent\AppData\Roaming\how_to_decrypt.hta
2022-08-12 21:29 - 2022-08-12 21:29 - 000001794 _____ C:\Users\neodent\AppData\LocalLow\how_to_decrypt.hta
2022-08-12 21:29 - 2022-08-12 21:29 - 000001794 _____ C:\Users\neodent\AppData\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\neodent\AppData\Local\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\Default\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\administrator\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\administrator\Downloads\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\administrator\Documents\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\administrator\Desktop\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\administrator\AppData\Roaming\how_to_decrypt.hta
2022-08-12 21:27 - 2022-08-12 21:27 - 000001794 _____ C:\Users\administrator\AppData\how_to_decrypt.hta
2022-08-12 21:26 - 2022-08-12 21:26 - 000001794 _____ C:\Users\administrator\AppData\LocalLow\how_to_decrypt.hta
2022-08-12 21:26 - 2022-08-12 21:26 - 000001794 _____ C:\Users\administrator\AppData\Local\how_to_decrypt.hta
2022-08-12 21:26 - 2022-08-12 21:26 - 000001794 _____ C:\Users\Admin\how_to_decrypt.hta
2022-08-12 21:26 - 2022-08-12 21:26 - 000001794 _____ C:\Users\Admin\Downloads\how_to_decrypt.hta
2022-08-12 21:26 - 2022-08-12 21:26 - 000001794 _____ C:\Users\Admin\Documents\how_to_decrypt.hta
2022-08-12 21:26 - 2022-08-12 21:26 - 000001794 _____ C:\Users\Admin\Desktop\how_to_decrypt.hta
2022-08-12 21:25 - 2022-08-12 21:25 - 000001794 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-12 21:25 - 2022-08-12 21:25 - 000001794 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-12 21:25 - 2022-08-12 21:25 - 000001794 _____ C:\Users\Admin\AppData\Roaming\how_to_decrypt.hta
2022-08-12 21:25 - 2022-08-12 21:25 - 000001794 _____ C:\Users\Admin\AppData\LocalLow\how_to_decrypt.hta
2022-08-12 21:25 - 2022-08-12 21:25 - 000001794 _____ C:\Users\Admin\AppData\how_to_decrypt.hta
2022-08-12 21:24 - 2022-08-12 21:24 - 000001794 _____ C:\Users\Admin\AppData\Local\how_to_decrypt.hta
2022-08-12 21:24 - 2022-08-12 21:24 - 000001794 _____ C:\Users\1c\how_to_decrypt.hta
2022-08-12 21:24 - 2022-08-12 21:24 - 000001794 _____ C:\Users\1c\Downloads\how_to_decrypt.hta
2022-08-12 21:24 - 2022-08-12 21:24 - 000001794 _____ C:\Users\1c\Documents\how_to_decrypt.hta
2022-08-12 21:24 - 2022-08-12 21:24 - 000001794 _____ C:\Users\1c\Desktop\how_to_decrypt.hta
2022-08-12 21:23 - 2022-08-12 21:23 - 000001794 _____ C:\Users\1c\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-12 21:23 - 2022-08-12 21:23 - 000001794 _____ C:\Users\1c\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-12 21:23 - 2022-08-12 21:23 - 000001794 _____ C:\Users\1c\AppData\Roaming\how_to_decrypt.hta
2022-08-12 21:23 - 2022-08-12 21:23 - 000001794 _____ C:\Users\1c\AppData\LocalLow\how_to_decrypt.hta
2022-08-12 21:23 - 2022-08-12 21:23 - 000001794 _____ C:\Users\1c\AppData\Local\how_to_decrypt.hta
2022-08-12 21:23 - 2022-08-12 21:23 - 000001794 _____ C:\Users\1c\AppData\how_to_decrypt.hta
2022-08-12 20:12 - 2022-08-12 20:12 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2022-08-12 20:12 - 2022-08-12 20:12 - 000001794 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-08-12 20:10 - 2022-08-12 20:10 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-08-12 20:10 - 2022-08-12 20:10 - 000001794 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2022-08-12 20:10 - 2022-08-12 20:10 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
2022-08-12 20:10 - 2022-08-12 20:10 - 000001794 _____ C:\Program Files (x86)\how_to_decrypt.hta
2022-08-12 20:04 - 2022-08-12 20:04 - 000001794 _____ C:\Program Files\how_to_decrypt.hta
2022-08-12 19:43 - 2022-08-12 19:43 - 000001794 _____ C:\Program Files\Common Files\how_to_decrypt.hta
2022-08-12 19:10 - 2022-08-12 19:10 - 000001794 _____ C:\Users\how_to_decrypt.hta
2022-08-12 19:05 - 2017-08-13 21:32 - 001424896 _____ (Misc314) C:\Users\Admin\Desktop\mouselock.exe
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [TCP Query User{DE177EF7-A24E-4367-A9CE-0DF2ABD06BFF}C:\install\ajanaitis\neodent\video\vifeo_operacija\vj.exe] => (Block) C:\install\ajanaitis\neodent\video\vifeo_operacija\vj.exe => No File
FirewallRules: [UDP Query User{94E19CBC-2988-4A46-B972-510446870907}C:\install\ajanaitis\neodent\video\vifeo_operacija\vj.exe] => (Block) C:\install\ajanaitis\neodent\video\vifeo_operacija\vj.exe => No File
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Pljushevij]

Пожалуйста...

 

[akok]

Перенес тему в нужный раздел.

 

[Pljushevij]

Перенес тему в нужный раздел.

А можно пожалуйста ссылку на эту тему?

 

[akok]

Вы в ней отвечаете )))

 

[Pljushevij]

Пасб. Жду

 

[akok]

Отправил инструкцию в личные сообщения.