Перейти к содержимому

  4. Зашифрованы данные через RDP Billy_will_help_you@protonmail.com

Фотография
- - - - -

Зашифрованы данные через RDP Billy_will_help_you@protonmail.com

Автор zxcnick , 09 авг 2018 03:07

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 5

#1 OFF   zxcnick

zxcnick

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 09 Август 2018 - 03:07

Решил настроить между домом и офисом RDP. Настроил порты включил все "разрешалки", попользовался и забыл, через несколько дней обнаружил что стоит не мой пароль "на вход". Путем инструкций через интернет пароли были сброшены. Браузер "google chrome' не запускался и нужные мне документы оказались зашифрованы.

файл протоколов приткладываю.

Прикрепленные файлы


  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 895

Отправлено 09 Август 2018 - 04:55

Здравствуйте,

HiJackThis (из каталога autologger)профиксить

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://www.2345.com/?ktonyde
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.2345.com/?ktonyde



- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • 0
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

GSI-Отчет | Утилита удаления продуктов KL | Утилиты для борьбы с вирусами
Бета-тестирование продуктов Kaspersky Labs.
Правила форума фан-клуба Лаборатории Касперского

#3 OFF   zxcnick

zxcnick

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 09 Август 2018 - 10:52

Добрый день, сделал все по инструкции:

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   44,9К   скачиваний 1
  • Прикрепленный файл  FRST.txt   67,66К   скачиваний 2

  • 0

#4 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 895

Отправлено 09 Август 2018 - 16:12

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
File: C:\Program Files (x86)\Paragon Software\HFS+ for Windows\apmwinsrv.exe
File: C:\Windows\System32\MsSpellCheckingFacility.exe
HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\...\MountPoints2: {effba4df-e023-11e7-9ed1-1c497bb22889} - D:\ZUK_UsbDriver_1.0.6.exe
HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\...\MountPoints2: {effba4e4-e023-11e7-9ed1-1c497bb22889} - D:\ZUK_UsbDriver_1.0.6.exe
HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.2345.com/?ktonyde
HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.2345.com/?ktonyde
FF Plugin-x32: @t.garena.com/garenatalk -> C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
CHR HKU\S-1-5-21-1005186238-1470946419-2858201406-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
File: C:\Windows\System32\alg.exe
File: C:\Windows\System32\eapsvc.dll
2018-08-05 01:21 - 2018-08-08 19:47 - 000001202 _____ C:\Windows\ReadMe_Decryptor.txt
2018-08-05 00:35 - 2018-08-05 00:47 - 000003400 _____ C:\Users\macbro\AppData\Roaming\Info.hta.[Billy_will_help_you@protonmail.com].java
2018-08-05 00:35 - 2018-08-05 00:35 - 000000601 _____ C:\ReadMe_Decryptor.txt
2018-08-05 00:34 - 2018-08-05 00:34 - 000000601 _____ C:\Users\macbro\ReadMe_Decryptor.txt
2018-08-05 00:33 - 2018-08-08 19:24 - 000001202 _____ C:\Users\macbro\AppData\Roaming\ReadMe_Decryptor.txt
2018-08-05 00:33 - 2018-08-05 00:33 - 000000601 _____ C:\Users\macbro\Downloads\ReadMe_Decryptor.txt
2018-08-04 22:44 - 2018-08-04 22:44 - 000000601 _____ C:\Users\macbro\Documents\ReadMe_Decryptor.txt
Folder: C:\flexlm
2018-08-08 19:24 - 2018-08-08 19:24 - 000003400 _____ () C:\Users\macbro\AppData\Roaming\Info.hta
2018-08-05 00:35 - 2018-08-05 00:47 - 000003400 _____ () C:\Users\macbro\AppData\Roaming\Info.hta.[Billy_will_help_you@protonmail.com].java
2018-08-05 00:33 - 2018-08-08 19:24 - 000001202 _____ () C:\Users\macbro\AppData\Roaming\ReadMe_Decryptor.txt
2018-05-15 19:47 - 2018-05-15 19:47 - 049930168 _____ (Sony) C:\Users\macbro\AppData\Local\Temp\xcs17B7.tmp.exe
AlternateDataStreams: C:\Users\Public\DRM:احتضان [98]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

  • 0
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

GSI-Отчет | Утилита удаления продуктов KL | Утилиты для борьбы с вирусами
Бета-тестирование продуктов Kaspersky Labs.
Правила форума фан-клуба Лаборатории Касперского

#5 OFF   zxcnick

zxcnick

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 09 Август 2018 - 17:17

Готово

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   7,88К   скачиваний 1

  • 0

#6 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 895

Отправлено 09 Август 2018 - 17:25

К сожалению с расшифровокй не поможем. Если у Вас есть действующая лицензия на продукты Лаборатории Касперского, то пробуйте выполнить следующие инструкции.
https://forum.kasper...showtopic=48525
  • 0
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

GSI-Отчет | Утилита удаления продуктов KL | Утилиты для борьбы с вирусами
Бета-тестирование продуктов Kaspersky Labs.
Правила форума фан-клуба Лаборатории Касперского
Обратно в Уничтожение вирусов · Следующая непрочитанная тема →


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных

  1. Форум фан-клуба Лаборатории Касперского
  2. Помощь
  3. Уничтожение вирусов
  4. Зашифрованы данные через RDP Billy_will_help_you@protonmail.com