Перейти к содержимому


Фотография
- - - - -

Шифровльщик harma277@gmx.de]

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 6

#1 OFF   VladimirP

VladimirP

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 03 March 2020 - 11:25

Зашифровали ночью сервер БД и Сервер терминалов


Приложил файл и текст вымогателя


Вот файлы проверки  Farbar Recovery Scan Tool 

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15059

Награды

           

Отправлено 03 March 2020 - 11:51

Вас же просили собрать логи по правилам.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   VladimirP

VladimirP

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 03 March 2020 - 12:43

Вас же просили собрать логи по правилам.

Так я сделал, вот логи


 

Вас же просили собрать логи по правилам.

Так я сделал, вот логи

 


Извините 


Пытаюсь вложить логи - пишет ошибку

 

An error occured with the SQL server:

mySQL query error: SELECT COUNT(*) as topicviews FROM topic_views WHERE views_tid=64818

This is not a problem with the IPS Community Suite but rather with your SQL server. Please contact your host and copy the message shown above.


Пытаюсь вложить логи - пишет ошибку

 

An error occured with the SQL server:

mySQL query error: SELECT COUNT(*) as topicviews FROM topic_views WHERE views_tid=64818

This is not a problem with the IPS Community Suite but rather with your SQL server. Please contact your host and copy the message shown above.


Логи


Логи


  • 0

#4 OFF   VladimirP

VladimirP

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 03 March 2020 - 18:00

Вас же просили собрать логи по правилам.

Прикрепленные файлы


  • 0

#5 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15059

Награды

           

Отправлено 03 March 2020 - 18:48

1. Выделите следующий код:
Start::
CreateRestorePoint:
() [File not signed] C:\Windows\System32\LS0BK2_payload.exe
HKLM\...\Run: [LS0BK2_payload.exe] => C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe [94720 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Users\a.fedorov\AppData\Roaming\Info.hta] => C:\Users\a.fedorov\AppData\Roaming\Info.hta [13918 2020-03-02] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13918 2020-03-03] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-02] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-02] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe
C:\Windows\System32\LS0BK2_payload.exe
2020-03-03 10:16 - 2020-03-03 10:16 - 000013918 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-03-02 23:04 - 2020-03-02 23:04 - 000094720 _____ C:\Users\a.fedorov\AppData\Roaming\LS0BK2_payload.exe
2020-03-02 23:03 - 2020-03-03 10:16 - 000013918 _____ C:\Windows\system32\Info.hta
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:04 - 000013918 _____ C:\Users\a.fedorov\AppData\Roaming\Info.hta
2020-03-02 23:03 - 2020-03-02 23:04 - 000000218 _____ C:\Users\a.fedorov\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:03 - 000094720 _____ C:\Windows\system32\LS0BK2_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#6 OFF   VladimirP

VladimirP

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 03 March 2020 - 19:14

1. Выделите следующий код:

Start::
CreateRestorePoint:
() [File not signed] C:\Windows\System32\LS0BK2_payload.exe
HKLM\...\Run: [LS0BK2_payload.exe] => C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe [94720 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Users\a.fedorov\AppData\Roaming\Info.hta] => C:\Users\a.fedorov\AppData\Roaming\Info.hta [13918 2020-03-02] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13918 2020-03-03] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-02] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-02] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe
C:\Windows\System32\LS0BK2_payload.exe
2020-03-03 10:16 - 2020-03-03 10:16 - 000013918 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-03-02 23:04 - 2020-03-02 23:04 - 000094720 _____ C:\Users\a.fedorov\AppData\Roaming\LS0BK2_payload.exe
2020-03-02 23:03 - 2020-03-03 10:16 - 000013918 _____ C:\Windows\system32\Info.hta
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:04 - 000013918 _____ C:\Users\a.fedorov\AppData\Roaming\Info.hta
2020-03-02 23:03 - 2020-03-02 23:04 - 000000218 _____ C:\Users\a.fedorov\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:03 - 000094720 _____ C:\Windows\system32\LS0BK2_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   5.56К   скачиваний 1

  • 0

#7 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 15059

Награды

           

Отправлено 03 March 2020 - 19:56

Ответить можно было и без полного цитирования выданной Вам рекомендации.

 

С расшифровкой помочь не сможем.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных