Перейти к содержанию

Шифровльщик harma277@gmx.de]

VladimirP
 Поделиться

Рекомендуемые сообщения

VladimirP

VladimirP

Опубликовано
  • Автор
Опубликовано

Вас же просили собрать логи по правилам.

Так я сделал, вот логи

 

Вас же просили собрать логи по правилам.

Так я сделал, вот логи

 

Извините 

Пытаюсь вложить логи - пишет ошибку

 

An error occured with the SQL server:

mySQL query error: SELECT COUNT(*) as topicviews FROM topic_views WHERE views_tid=64818

This is not a problem with the IPS Community Suite but rather with your SQL server. Please contact your host and copy the message shown above.

Пытаюсь вложить логи - пишет ошибку

 

An error occured with the SQL server:

mySQL query error: SELECT COUNT(*) as topicviews FROM topic_views WHERE views_tid=64818

This is not a problem with the IPS Community Suite but rather with your SQL server. Please contact your host and copy the message shown above.

Логи

Логи

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
() [File not signed] C:\Windows\System32\LS0BK2_payload.exe
HKLM\...\Run: [LS0BK2_payload.exe] => C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe [94720 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Users\a.fedorov\AppData\Roaming\Info.hta] => C:\Users\a.fedorov\AppData\Roaming\Info.hta [13918 2020-03-02] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13918 2020-03-03] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-02] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-02] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe
C:\Windows\System32\LS0BK2_payload.exe
2020-03-03 10:16 - 2020-03-03 10:16 - 000013918 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-03-02 23:04 - 2020-03-02 23:04 - 000094720 _____ C:\Users\a.fedorov\AppData\Roaming\LS0BK2_payload.exe
2020-03-02 23:03 - 2020-03-03 10:16 - 000013918 _____ C:\Windows\system32\Info.hta
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:04 - 000013918 _____ C:\Users\a.fedorov\AppData\Roaming\Info.hta
2020-03-02 23:03 - 2020-03-02 23:04 - 000000218 _____ C:\Users\a.fedorov\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:03 - 000094720 _____ C:\Windows\system32\LS0BK2_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
VladimirP

VladimirP

Опубликовано
  • Автор
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
() [File not signed] C:\Windows\System32\LS0BK2_payload.exe
HKLM\...\Run: [LS0BK2_payload.exe] => C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe [94720 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Users\a.fedorov\AppData\Roaming\Info.hta] => C:\Users\a.fedorov\AppData\Roaming\Info.hta [13918 2020-03-02] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13918 2020-03-03] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-02] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-02] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe
C:\Windows\System32\LS0BK2_payload.exe
2020-03-03 10:16 - 2020-03-03 10:16 - 000013918 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-03-02 23:04 - 2020-03-02 23:04 - 000094720 _____ C:\Users\a.fedorov\AppData\Roaming\LS0BK2_payload.exe
2020-03-02 23:03 - 2020-03-03 10:16 - 000013918 _____ C:\Windows\system32\Info.hta
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:04 - 000013918 _____ C:\Users\a.fedorov\AppData\Roaming\Info.hta
2020-03-02 23:03 - 2020-03-02 23:04 - 000000218 _____ C:\Users\a.fedorov\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:03 - 000094720 _____ C:\Windows\system32\LS0BK2_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Ответить можно было и без полного цитирования выданной Вам рекомендации.

 

С расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kov44
      Помощь в дешифровке restore1_helper@gmx.de
      Автор kov44
      Добрый день! Несколько компьютеров в сети подверглись атаке вируса-шифровальщика. Вымогатель предлагает осуществить выкуп за помощь с дешифровкой за биткоины.
      Файлы были переименованы, в конце каждого суффикс "id[e2bdbcde-3259].[restore1_helper@gmx.de].Banta"
      Кто-нибудь сталкивался? Возможно дешифровка данных файлов
      Вот архив, в нем зашифрованные файлы, а также два файла info с требованием о выплате выкупа
      virus.rar
    • JIEXA
      Схватил шифровальщик restore1_helper@gmx.de
      Автор JIEXA
      encrypted.zipFRST.txtAddition.txt2_fles.zip
      Подхватил заразу через рдп, подобрали пароль походу. В архиве 2_files находятся файл зашифрованный и файл оригинал.
    • imagic
      Нужна помощь с [restore1_helper@gmx.de].Banta
      Автор imagic
      Парни,
      Помогите справится с монстром!
    • a_d_69
      Пойман шифровальщик [restore1_helper@gmx.de].Banta
      Автор a_d_69
      Поймали шифровальщика, по возможности можете сказать есть возможно расшифровать. Логи через FRST добавили. Пароль на архив 123
      977Fast.rar Архив.zip Addition.txt FRST.txt
    • Tetradb
      Шифровальщик с расширением [johnhelper123@gmx.de].decrypt
      Автор Tetradb
      Здравствуйте.
      Зашифровались все файлы, прошу помощи по расшифровке файлов если есть возможно.
      29.11.2022.rar
×
×
  • Создать...