Шифровальщик madbad@foxmail.com

[odin250787 0]

Здравствуйте, помогите расшифровать файлы все документы базы данных зашифрованы расширение .id-C85E9E17.[madbad@foxmail.com].usa

CollectionLog-2019.01.28-11.43.zip

[Sandor 1 253]

Здравствуйте!

 

С расшифровкой помочь не сможем.

 

Вы собрали логи из терминальной сессии, а нужно из консоли. Если нужна помощь в очистке, переделайте как требуется.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[odin250787 0]

То есть нужно не через rdp а на прямую к компьютеру подключатся и потом запускать файл?

[Sandor 1 253]

Именно так.

[odin250787 0]

Отправляю лог, и скрины с названием трояна

CollectionLog-2019.01.29-10.08.zip

файлы.7z

[Sandor 1 253]

"Пофиксите" в HijackThis:

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Администратор\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Users\Продавец\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Продавец\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - Startup other users: C:\Users\Продавец\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - Startup other users: C:\Users\СТО75-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Здесь больше помочь нечем.