• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помощь в расшифровке вируса

Статус
В этой теме нельзя размещать новые ответы.

kantona

Новый пользователь
Сообщения
7
Реакции
0
Добрый день.
Прошу помощи в расшифровке вируса.
Прикрепленый лог прилагается
 

Вложения

  • CollectionLog-2019.06.10-14.44.zip
    60.2 KB · Просмотры: 2
Здравствуйте!

Смените пароль на RDP.

Папка
C:\Program Files\RDP Wrapper
вам известна?

Прикрепите несколько зашифрованных документов в архиве к следующему сообщению.
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Добрый день.
Сейчас отключены все пользователи которые подключались по RDP
Во вложений запрашиваемые Вами файлы
 

Вложения

  • Addition.txt
    37.6 KB · Просмотры: 1
  • FRST.txt
    74.7 KB · Просмотры: 1
  • вирус.zip
    12.1 KB · Просмотры: 3
Последнее редактирование:
C:\Program Files\RDP Wrapper - папка известна.
Пароли всех пользователей поменяем.
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {9F0AB906-4551-43B6-8030-1967961C0ED1} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
    2019-06-10 13:46 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Администратор.DESKTOP-H73MSCL\Downloads\README.txt
    2019-06-10 13:46 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Администратор.DESKTOP-H73MSCL\Documents\README.txt
    2019-06-10 13:46 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Администратор.DESKTOP-H73MSCL\Desktop\README.txt
    2019-06-10 13:46 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Администратор.DESKTOP-H73MSCL\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Public\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Public\Downloads\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\Documents\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\Desktop\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\AppData\Roaming\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\AppData\README.txt
    2019-06-07 00:52 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Hignyk\AppData\LocalLow\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Hignyk\AppData\Local\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default\Downloads\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default\Documents\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default\Desktop\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default User\Documents\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-07 00:50 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 00:47 - 2019-06-07 00:52 - 000001279 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-07 00:47 - 2019-06-07 00:52 - 000000082 _____ C:\Users\Public\Documents\README.txt
    2019-06-07 00:32 - 2019-06-07 00:50 - 000001279 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-07 00:32 - 2019-06-07 00:50 - 000001279 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-07 00:32 - 2019-06-07 00:50 - 000000082 _____ C:\Users\Все пользователи\README.txt
    2019-06-07 00:32 - 2019-06-07 00:50 - 000000082 _____ C:\ProgramData\README.txt
    2019-06-07 00:52 - 2017-11-23 11:24 - 000003055 _____ C:\Users\Hignyk\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-ReadMe.txt.doubleoffset
    2019-06-07 00:52 - 2017-11-23 11:24 - 000000082 _____ C:\Users\Hignyk\Downloads\README.txt
    FirewallRules: [{B042E10F-5687-4048-8C91-976C7F33E198}] => (Allow) C:\Users\Machula\AppData\Local\Temp\7zS25A6\ProductInst64.exe No File
    FirewallRules: [{42368A0F-7E09-4CEA-8EC3-F5536C1AC032}] => (Allow) C:\Users\Machula\AppData\Local\Temp\7zS25A6\ProductInst64.exe No File
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Во вложении файл
 

Вложения

  • Fixlog.txt
    7.3 KB · Просмотры: 1
Теперь подождите некоторое время.
 
Добрый день.
Прошу прощения, не могли бы Вы сориентировать плюс минус по времени сколько необходимо еще ждать. Так как скоро офис закроется и охрана выгонит а доступа к ПК не будет.
Спасибо
 
Значит завтра продолжим (или когда у вас будет возможность).
 
спасибо за оперативный ответ.
 
Увы, с расшифровкойне сможем помочь.
 
Алгоритм сменился, увы пока нет
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу