Перейти к содержанию

Рекомендуемые сообщения

Взломали пароль к РДП, заразили вирусом-шифровальщика 2 компьютера.

На обоих стоял Касперский KIS 12.

На рабочем столе взломанного аккаунта нашел файл вируса(пароль от архива 123), также там есть еще какие то файлы с названием 5-NS new.exe, с размером около 300мб, вероятно 

использовалось для установки вирусов. На диске где установлен windows была папка Decryption key, ее тоже приложил в архив файлы, возможно поможет. Также архиве приложен текст вымогателя, логи программы 

FRST.

virus.rar Файлы.rar

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Логи собраны из временного профиля

Цитата

Загруженные профили: False <==== ВНИМАНИЕ (Временный профиль?)

 

В обычный профиль войти не можете?

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.

Компьютер в домене, вся доменная политика находится на другом зараженном компьютере... второй компьютер отключил от сети на всякий случай, как и этот.

 

Зашел под учеткой администратора(локального) в безопасном режиме, т.к. при загрузке там появляется окно с Windows locker express, не дает грузиться системе нормально(видать там подменили explorer, профили рабочего стола и т.п.)

 

Лечить все не стал пока-что, чтобы не удалить какие то возможно нужные для лечения файлы.

 

Ссылка на комментарий
Поделиться на другие сайты

Файлы с большой вероятностью зашифрованы шифровальщиком Enmity

Расшифровки на текущий момент к сожалению нет.

 

Если необходима помощь в очистке системы, сделайте дополнительно, пожалуйста, образ автозапуска в uVS.

Можно из безопасного режима.

 

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, Win7, Win8, Win10 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

проверьте ЛС

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Radik_Gilmanov
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
×
×
  • Создать...