Magikanin 0 Опубликовано 16 января, 2017 Share Опубликовано 16 января, 2017 Добрый день. Зашифровали много файлов на сервере. Письма вымогателя не нашел. Прошу помощи в расшифровке файлов. Файл автологера во вложении Заранее благодарен. CollectionLog-2017.01.16-03.03.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 16 января, 2017 Share Опубликовано 16 января, 2017 Здравствуйте! Логи сделаны в терминальной сессии, сделайте их из консоли. Ссылка на сообщение Поделиться на другие сайты
Magikanin 0 Опубликовано 17 января, 2017 Автор Share Опубликовано 17 января, 2017 В приложении логи из консоли. CollectionLog-2017.01.16-17.26.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 17 января, 2017 Share Опубликовано 17 января, 2017 Запущено от имени администратора, но по-прежнему из терминальной сессии: AVZ запущен из терминальной сессии (RDP-Tcp#0) Ссылка на сообщение Поделиться на другие сайты
Magikanin 0 Опубликовано 17 января, 2017 Автор Share Опубликовано 17 января, 2017 Подключился в существующую терминальную сессию. Сейчас сделал из консоли. CollectionLog-2017.01.17-11.11.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 17 января, 2017 Share Опубликовано 17 января, 2017 Файл C:\Windows\PreInstall\uddisrw.exeВам известен? Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Magikanin 0 Опубликовано 17 января, 2017 Автор Share Опубликовано 17 января, 2017 файл не знаком. В приложении отчеты. Addition.txt FRST.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 17 января, 2017 Share Опубликовано 17 января, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: ShortcutTarget: ItKPElOr.lnk -> C:\Users\administrator.EHINACEYA\AppData\Local\Temp\vcBqnoNi.exe (No File) GroupPolicy: Restriction <======= ATTENTION 2017-01-15 01:03 - 2016-11-15 13:40 - 00075776 _____ C:\Users\test\AppData\Local\Temp\vcBqnoNi.exe endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перегрузите компьютер вручную. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Magikanin 0 Опубликовано 17 января, 2017 Автор Share Опубликовано 17 января, 2017 Компьютер перезагрузился сам, после завершения операции. fixlog прилагаю Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 286 Опубликовано 18 января, 2017 Share Опубликовано 18 января, 2017 Создайте запрос на расшифровку. Ссылка на сообщение Поделиться на другие сайты
Magikanin 0 Опубликовано 18 января, 2017 Автор Share Опубликовано 18 января, 2017 (изменено) создал. а шансы есть? Еще вижу что сервер сам к себе пароль подобрать пытается. т.е. еще чтото в сервере осталось. Пример логов: An account failed to log on.Subject:Security ID: NULL SIDAccount Name: -Account Domain: -Logon ID: 0x0Logon Type: 3Account For Which Logon Failed:Security ID: NULL SIDAccount Name: ANDROIDAccount Domain:Failure Information:Failure Reason: Unknown user name or bad password.Status: 0xc000006dSub Status: 0xc0000064Process Information:Caller Process ID: 0x0Caller Process Name: -Network Information:Workstation Name:Source Network Address: -Source Port: -Detailed Authentication Information:Logon Process: NtLmSspAuthentication Package: NTLMTransited Services: -Package Name (NTLM only): -Key Length: 0 Также под пользователем test установлен блокиратор рабочего стола. пока не удаляю. Ожинаю рекоменаций касперского. Очень надеюсь вернуть файлы. А сервер переустановить всегда можно. Изменено 18 января, 2017 пользователем Magikanin Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти