Перейти к содержимому


Фотография
- - - - -

Шифровальщик madbad@foxmail.com

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 5

#1 OFF   odin250787

odin250787

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 28 Январь 2019 - 06:51

Здравствуйте, помогите расшифровать файлы все документы базы данных зашифрованы расширение .id-C85E9E17.[madbad@foxmail.com].usa

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 821

Отправлено 28 Январь 2019 - 09:57

Здравствуйте!

С расшифровкой помочь не сможем.

Вы собрали логи из терминальной сессии, а нужно из консоли. Если нужна помощь в очистке, переделайте как требуется.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.
  • 0
Изображение

#3 OFF   odin250787

odin250787

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 28 Январь 2019 - 10:17

То есть нужно не через rdp а на прямую к компьютеру подключатся и потом запускать файл?


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 821

Отправлено 28 Январь 2019 - 10:35

Именно так.
  • 0
Изображение

#5 OFF   odin250787

odin250787

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 29 Январь 2019 - 04:45

Отправляю лог, и скрины с названием трояна

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 821

Отправлено 29 Январь 2019 - 09:51

"Пофиксите" в HijackThis:
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Администратор\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Users\Продавец\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Продавец\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - Startup other users: C:\Users\Продавец\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - Startup other users: C:\Users\СТО75-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Здесь больше помочь нечем.
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных