• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Просьба в помощи расшифровки [email protected] 1.5.1.0.id

Lstt

Новый пользователь
Сообщения
6
Реакции
0
Доброго времени суток! Огромная просьба помочь...сегодня ночью, через протокол rdp внедрился exe-шник и зашифровал практически все файлы..(((
 

Вложения

  • CollectionLog-2019.06.16-14.16.zip
    135 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,982
С этой версией шифратора помочь пока не удастся, будет только зачистка следов.

RDP Wrapper - сами устанавливали?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Local\Temp\VWXXZAABBC.exe','');
 DeleteFile('C:\Users\User\AppData\Local\Temp\VWXXZAABBC.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Temp\VWXXZAABBC.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2933153232','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2933153232','x64');
 DeleteSchedulerTask('{F818FC1F-AB1E-D219-38D9-62A6ADB75050}');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,982
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Lstt

Новый пользователь
Сообщения
6
Реакции
0
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Вложения

  • AdwCleaner[S00].txt
    6.2 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,982
Софт от IObit деинсталлируйте
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Lstt

Новый пользователь
Сообщения
6
Реакции
0
Высылаю файлы ответа...на расшифровку можно уже не надеяться? Вообще?
 

Вложения

  • AdwCleaner[C01].txt
    5.6 KB · Просмотры: 1
  • AdwCleaner[S01].txt
    6.3 KB · Просмотры: 0
  • FRST.txt
    305.4 KB · Просмотры: 1
  • Addition.txt
    167.2 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,982
на расшифровку можно уже не надеяться?
В обозримом будущем нет, но все может быть. Злоумышленники могут выдать ключи, или сервера арестуют, или удастся сломать алгоритм ав компаниям.

бекапы? Пароли на RDP сменили?
Шифрование запустили
Политики сами настраивали?
Знакомо?
2019-06-16 01:20 - 2019-06-14 01:08 - 003518464 _____ C:\Users\User\Documents\123.exe
2019-06-15 23:38 - 2019-06-10 00:23 - 000089600 _____ C:\Users\User\Documents\avtomat.exe

Проверьте список пользователей, вам могли создать нового
DD (S-1-5-21-3942719070-2052920227-1489307221-1020 - Administrator - Enabled) => C:\Users\DD
HomeGroupUser$ (S-1-5-21-3942719070-2052920227-1489307221-1007 - Limited - Enabled)
MUT (S-1-5-21-3942719070-2052920227-1489307221-1016 - Limited - Enabled)
Remote (S-1-5-21-3942719070-2052920227-1489307221-1019 - Administrator - Enabled) => C:\Users\Remote
User (S-1-5-21-3942719070-2052920227-1489307221-1001 - Administrator - Enabled) => C:\Users\User
Администратор (S-1-5-21-3942719070-2052920227-1489307221-500 - Administrator - Enabled) => C:\Users\Администратор

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [180159] => 180159
    HKLM-x32\...\Run: [22225] => 22225
    KU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {199c5696-2743-11e8-8b65-74d435b2e313} - "K:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {4d8eeade-56a5-11e5-85e6-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {4e21edc6-2fab-11e9-8cba-74d435b2e313} - "I:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {4e21edd8-2fab-11e9-8cba-74d435b2e313} - "I:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {51becac2-e378-11e4-848f-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {51becb15-e378-11e4-848f-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {51becb4e-e378-11e4-848f-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {51becbb9-e378-11e4-848f-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {598b536b-e260-11e4-848c-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {598b53e5-e260-11e4-848c-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {598b5428-e260-11e4-848c-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {80a7ebcd-26fd-11e4-82d4-002522f9b538} - "J:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {80a7ec0d-26fd-11e4-82d4-002522f9b538} - "H:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {87b54014-f606-11e4-84bd-74d435b2e313} - "H:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {9fd08908-4597-11e6-87e6-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {9fd08a2b-4597-11e6-87e6-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {b587dbee-e3f6-11e4-8496-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {b587dc3e-e3f6-11e4-8496-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {bcda4e22-3b84-11e5-8581-74d435b2e313} - "H:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {c5dc9f7f-0135-11e8-8b1f-02260339d4bf} - "K:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {c5dc9fc3-0135-11e8-8b1f-02260339d4bf} - "L:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {cf79f158-f360-11e5-873e-74d435b2e313} - "H:\Autorun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {cf79f9f6-f360-11e5-873e-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {cf79fcc7-f360-11e5-873e-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {cfba9634-420f-11e4-8314-002522f9b538} - "H:\.\setup.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {dd9f6454-3adf-11e5-857f-74d435b2e313} - "H:\Install MegaFon Internet.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {e8df4dc6-e387-11e4-8490-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {e8df4e33-e387-11e4-8490-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {ed1442cf-d80b-11e3-8252-002522f9b538} - "E:\setup.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {f46e3cc7-e2cd-11e4-848d-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {f46e3d9f-e2cd-11e4-848d-74d435b2e313} - "H:\AutoRun.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {f7e0c0c9-2c64-11e4-82e0-002522f9b538} - "I:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {f7e0c0f5-2c64-11e4-82e0-002522f9b538} - "I:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-3942719070-2052920227-1489307221-1001\...\MountPoints2: {fcc12e2f-5c25-11e5-85f6-74d435b2e313} - "H:\Install MegaFon Internet.exe" 
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {A2ED13E9-2482-4DA4-99EF-B62C29F69642} - \{338EDB15-D3CB-6DDD-09A1-F5A80461715E} -> No File <==== ATTENTION
    Task: {D8C53A9F-C48C-43EC-B63A-1E819BAE8D9B} - \{338D3950-CD02-A931-27A0-C52175DBB3B0} -> No File <==== ATTENTION
    2019-06-16 06:44 - 2019-06-16 06:44 - 000000090 _____ C:\Users\Студияzr9ecy\README.txt
    2019-06-16 06:44 - 2019-06-16 06:44 - 000000090 _____ C:\Users\Студияzqt19\README.txt
    2019-06-16 06:44 - 2019-06-16 06:44 - 000000090 _____ C:\Users\Студияzpgt\README.txt
    2019-06-16 06:44 - 2019-06-16 06:44 - 000000090 _____ C:\Users\Студия\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\Documents\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\Desktop\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\AppData\Roaming\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\AppData\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
    2019-06-16 06:43 - 2019-06-16 06:43 - 000000090 _____ C:\Users\Администратор\AppData\Local\README.txt
    2019-06-16 06:42 - 2019-06-16 06:42 - 000000090 _____ C:\Users\User\README.txt
    2019-06-16 06:41 - 2019-06-16 06:41 - 000000090 _____ C:\Users\User\Downloads\README.txt
    2019-06-16 06:41 - 2019-06-16 06:41 - 000000090 _____ C:\Users\User\Documents\README.txt
    2019-06-16 06:39 - 2019-06-16 06:39 - 000000090 _____ C:\Users\User\Desktop\README.txt
    2019-06-16 06:39 - 2019-06-16 06:39 - 000000090 _____ C:\Users\User\AppData\Roaming\README.txt
    2019-06-16 06:35 - 2019-06-16 06:44 - 000001287 _____ C:\Users\Студияzr9ecy\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:35 - 2019-06-16 06:44 - 000001287 _____ C:\Users\Студияzqt19\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:35 - 2019-06-16 06:44 - 000001287 _____ C:\Users\Студияzpgt\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:35 - 2019-06-16 06:44 - 000001287 _____ C:\Users\Студия\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:35 - 2019-06-16 06:35 - 000000090 _____ C:\Users\README.txt
    2019-06-16 06:35 - 2019-06-16 06:35 - 000000090 _____ C:\README.txt
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\Documents\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\Desktop\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\AppData\Roaming\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\AppData\LocalLow\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\AppData\Local\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:43 - 000001287 _____ C:\Users\Администратор\AppData\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:42 - 000001287 _____ C:\Users\User\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:41 - 000001287 _____ C:\Users\User\Downloads\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:31 - 2019-06-16 06:31 - 000000090 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 06:31 - 2019-06-16 06:31 - 000000090 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 06:30 - 2019-06-16 06:41 - 000001287 _____ C:\Users\User\Documents\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:29 - 2019-06-16 06:39 - 000001287 _____ C:\Users\User\Desktop\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:29 - 2019-06-16 06:37 - 000001287 _____ C:\Users\User\AppData\Roaming\[email protected].li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:29 - 2019-06-16 06:29 - 000000090 _____ C:\Users\User\AppData\README.txt
    2019-06-16 06:15 - 2019-06-16 06:15 - 000000090 _____ C:\Users\User\AppData\LocalLow\README.txt
    2019-06-16 06:09 - 2019-06-16 06:15 - 000001287 _____ C:\Users\User\AppData\LocalLow\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 06:09 - 2019-06-16 06:14 - 000001287 _____ C:\Users\User\AppData\Local\README.txt
    2019-06-16 05:52 - 2019-06-16 06:09 - 000001287 _____ C:\Users\User\AppData\Local\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 05:52 - 2019-06-16 05:52 - 000001287 _____ C:\Users\User\AppData\Local\Apps\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 05:52 - 2019-06-16 05:52 - 000000090 _____ C:\Users\User\AppData\Local\Apps\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\Documents\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\Desktop\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\AppData\Roaming\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\AppData\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\AppData\LocalLow\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Remote\AppData\Local\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Public\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Public\Downloads\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Denis\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Denis\Documents\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Denis\AppData\Roaming\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Denis\AppData\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Denis\AppData\LocalLow\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Denis\AppData\Local\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default\Documents\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default\AppData\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default User\Documents\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default User\AppData\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\Documents\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\Desktop\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\AppData\Roaming\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\AppData\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\AppData\LocalLow\README.txt
    2019-06-16 05:10 - 2019-06-16 05:10 - 000000090 _____ C:\Users\DD\AppData\Local\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Acronis Agent User\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Acronis Agent User\Documents\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Acronis Agent User\AppData\Roaming\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Acronis Agent User\AppData\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Acronis Agent User\AppData\LocalLow\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Acronis Agent User\AppData\Local\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Ab1rg\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Aaz7pitz\README.txt
    2019-06-16 05:09 - 2019-06-16 05:09 - 000000090 _____ C:\Users\Aayxvg6\README.txt
    2019-06-16 05:02 - 2019-06-16 05:02 - 000000090 _____ C:\Program Files (x86)\README.txt
    2019-06-16 04:34 - 2019-06-16 04:34 - 000000090 _____ C:\Program Files\README.txt
    2019-06-16 04:15 - 2019-06-16 04:15 - 000000090 _____ C:\Program Files\Common Files\README.txt
    2019-06-16 03:38 - 2019-06-16 05:10 - 000001287 _____ C:\Users\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\Documents\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\Desktop\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\AppData\Roaming\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\AppData\LocalLow\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\AppData\Local\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Remote\AppData\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Public\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Public\Downloads\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:29 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Public\Documents\README.txt
    2019-06-16 03:29 - 2019-06-16 03:29 - 000000090 _____ C:\Users\Remote\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Public\Desktop\README.txt
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Denis\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Denis\Documents\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Denis\AppData\Roaming\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Denis\AppData\LocalLow\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Denis\AppData\Local\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Denis\AppData\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default\Documents\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default\AppData\Roaming\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default\AppData\Local\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default\AppData\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default User\Documents\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default User\AppData\Roaming\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default User\AppData\Local\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\Default User\AppData\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\Documents\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\Desktop\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\AppData\Roaming\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\AppData\LocalLow\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\AppData\Local\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 05:10 - 000001287 _____ C:\Users\DD\AppData\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:28 - 2019-06-16 03:28 - 000000090 _____ C:\Users\Denis\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:28 - 2019-06-16 03:28 - 000000090 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:28 - 2019-06-16 03:28 - 000000090 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:28 - 2019-06-16 03:28 - 000000090 _____ C:\Users\DD\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:28 - 2019-06-16 03:28 - 000000090 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:27 - 2019-06-16 03:29 - 000001287 _____ C:\Users\Public\Documents\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:27 - 2019-06-16 03:28 - 000001287 _____ C:\Users\Public\Desktop\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:26 - 2019-06-16 03:28 - 000001287 _____ C:\Users\Все пользователи\README.txt
    2019-06-16 03:26 - 2019-06-16 03:28 - 000001287 _____ C:\ProgramData\README.txt
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Acronis Agent User\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Acronis Agent User\Documents\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Acronis Agent User\AppData\Roaming\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Acronis Agent User\AppData\LocalLow\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Acronis Agent User\AppData\Local\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Acronis Agent User\AppData\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Ab1rg\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:25 - 2019-06-16 03:25 - 000000090 _____ C:\Users\Acronis Agent User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-16 03:24 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Aaz7pitz\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-16 03:24 - 2019-06-16 05:09 - 000001287 _____ C:\Users\Aayxvg6\[email protected] 1.5.1.0.id-.fname-README.txt.doubleoffset
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Lstt

Новый пользователь
Сообщения
6
Реакции
0
бекапы? Пароли на RDP сменили? - да, хорошо, что самое ценное было..
пароль сменил..
DD (S-1-5-21-3942719070-2052920227-1489307221-1020 - Administrator - Enabled) => C:\Users\DD - это его и создали..((( - уже удалил
Спасибо огромное за помощь..!
 

Вложения

  • Fixlog.txt
    43.8 KB · Просмотры: 0

Lstt

Новый пользователь
Сообщения
6
Реакции
0
Это сам шифратор. Удаляйте.

Проверьте на virustotal.com и пришлите ссылку на результат анализа.
Это сам шифратор. Удаляйте.

Проверьте на virustotal.com и пришлите ссылку на результат анализа.
ОК, спасибо!
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,982
123.exe - тоже удаляйте.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,620
Реакции
13,982
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,445
Реакции
2,547
@Lstt, постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
 
  • Like
Реакции: akok
Сверху Снизу