Alsus Опубликовано 16 ноября, 2017 Share Опубликовано 16 ноября, 2017 (изменено) При включении сервера зашифровались все файлы ( несистемные) . Комп не перезагружали, сохранился скрипт, и программа шифровальщик. Высылаю логи, программу и скрипт, и зашифрованый файл CollectionLog-2017.11.16-12.57.zip Договор водоснаб населения.doc.helper05@cock.li-id-1080.rar Изменено 16 ноября, 2017 пользователем Sandor Убрал подозрительный файл Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 16 ноября, 2017 Share Опубликовано 16 ноября, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteRepair(9); end. Пожалуйста, перезагрузите компьютер вручную. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Alsus Опубликовано 16 ноября, 2017 Автор Share Опубликовано 16 ноября, 2017 Добавил файлы Desktop.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 16 ноября, 2017 Share Опубликовано 16 ноября, 2017 К сожалению, тип вымогателя BTCWare PayDay - расшифровки нет. Будет только очистка мусора. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION SearchScopes: HKU\S-1-5-21-3922604054-3334708400-841750113-1003 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=profitraf5 SearchScopes: HKU\S-1-5-21-3922604054-3334708400-841750113-1003 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=profitraf5 2017-11-16 11:38 - 2017-11-16 11:38 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\F79FD587-1E5A-474F-A027-DBB92A9B3536 2017-11-16 11:38 - 2017-11-16 11:38 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\e447ca22-e8c4-4b70-b651-8e028de2bfd6 2017-11-16 11:38 - 2017-11-16 11:38 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\A8A0172C-4DED-40B5-9489-D52483EE9E6A 2017-11-16 11:38 - 2017-11-16 11:38 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\A58579FA-9938-43E4-9066-1EBAE1B07CB7 2017-11-16 11:38 - 2017-11-16 11:38 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\1568af62-7fff-4c55-bbca-8d2e198bcc6e 2017-11-16 10:42 - 2017-11-16 10:42 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\EE886B7A-C453-4307-80E2-CC43C3E9789C 2017-11-16 10:42 - 2017-11-16 10:42 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\a03fabcf-49d1-4aa5-a83a-8404401e4c60 2017-11-16 10:42 - 2017-11-16 10:42 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\7A87E75D-A0E8-43CF-B17A-CDD78D728534 2017-11-16 10:42 - 2017-11-16 10:42 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\7782e09c-660e-4a91-95e5-686b233dcef7 2017-11-16 10:42 - 2017-11-16 10:42 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\0D6AB0C4-9317-4015-B0C4-B359FFAE2A24 2017-11-16 09:18 - 2017-11-16 09:19 - 000000089 _____ C:\!! RETURN FILES !!.txt 2017-11-16 09:00 - 2017-11-15 16:48 - 000365056 _____ C:\Users\Администратор\Desktop\511_payload_cr32.exe 2017-11-13 16:54 - 2017-11-13 16:55 - 000000000 ____D C:\Users\Тецких\AppData\Local\Temp\9 2017-11-13 15:33 - 2017-11-13 16:53 - 000000000 ____D C:\Users\Тецких\AppData\Local\Temp\6 2017-11-11 16:10 - 2017-11-11 17:12 - 000000000 ____D C:\Users\Тецких\AppData\Local\Temp\3 2017-11-11 16:06 - 2017-11-11 16:06 - 000000000 _____ C:\Users\Тецких\AppData\Local\Temp\v8lC8DA.tmp 2017-11-16 14:40 - 2014-11-12 10:03 - 000000000 ____D C:\Users\Все пользователи\Effector saver 3 2017-11-16 14:40 - 2014-11-12 10:03 - 000000000 ____D C:\ProgramData\Effector saver 3 2017-11-15 16:52 - 2017-01-18 08:34 - 000000000 ____D C:\Users\Поспелиха\AppData\Local\Temp\2 2017-11-15 16:50 - 2017-01-11 08:27 - 000000000 ____D C:\Users\Поспелиха ПТО\AppData\Local\Temp\6 2017-11-15 16:40 - 2017-07-25 15:53 - 000000000 ____D C:\Users\Говорова\AppData\Local\Temp\4 2017-11-15 15:55 - 2017-02-01 16:26 - 000000000 ____D C:\Users\Безрукавка\AppData\Local\Temp\5 2017-11-15 14:42 - 2017-01-23 15:23 - 000000000 ____D C:\Users\Горняк\AppData\Local\Temp\8 2017-11-15 10:51 - 2017-05-16 09:38 - 000000000 ____D C:\Users\Юрист\AppData\Local\Temp\7 2017-11-14 16:54 - 2017-02-21 11:03 - 000000000 ____D C:\Users\Поспелиха\AppData\Local\Temp\5 2017-11-14 16:50 - 2017-02-21 15:35 - 000000000 ____D C:\Users\Поспелиха2\AppData\Local\Temp\6 2017-11-14 16:45 - 2017-01-19 15:01 - 000000000 ____D C:\Users\Поспелиха ПТО1\AppData\Local\Temp\9 2017-11-14 16:26 - 2017-01-20 15:13 - 000000000 ____D C:\Users\Горняк\AppData\Local\Temp\4 2017-11-14 15:54 - 2017-01-26 08:49 - 000000000 ____D C:\Users\Говорова\AppData\Local\Temp\7 2017-11-14 15:25 - 2017-01-13 11:13 - 000000000 ____D C:\Users\Безрукавка\AppData\Local\Temp\3 2017-11-14 15:06 - 2017-01-19 12:23 - 000000000 ____D C:\Users\Горняк\AppData\Local\Temp\9 2017-11-14 14:53 - 2017-01-24 08:24 - 000000000 ____D C:\Users\Поспелиха ПТО1\AppData\Local\Temp\4 2017-11-14 14:28 - 2017-01-10 09:30 - 000000000 ____D C:\Users\Юрист\AppData\Local\Temp\8 2017-11-13 16:45 - 2017-01-17 08:12 - 000000000 ____D C:\Users\Поспелиха ПТО\AppData\Local\Temp\7 2017-11-13 16:38 - 2017-01-09 08:09 - 000000000 ____D C:\Users\Юрист\AppData\Local\Temp\4 2017-11-13 16:24 - 2017-01-18 09:32 - 000000000 ____D C:\Users\Поспелиха ПТО1\AppData\Local\Temp\8 2017-11-13 15:16 - 2017-02-21 14:36 - 000000000 ____D C:\Users\Говорова\AppData\Local\Temp\5 2017-11-13 15:01 - 2017-02-21 15:13 - 000000000 ____D C:\Users\Горняк\AppData\Local\Temp\6 2017-11-13 14:51 - 2017-01-10 08:50 - 000000000 ____D C:\Users\Поспелиха ПТО1\AppData\Local\Temp\6 2017-11-13 14:41 - 2017-02-22 08:26 - 000000000 ____D C:\Users\Безрукавка\AppData\Local\Temp\6 2017-11-13 14:30 - 2017-01-16 08:09 - 000000000 ____D C:\Users\Поспелиха ПТО1\AppData\Local\Temp\7 2017-11-13 12:05 - 2017-01-18 08:37 - 000000000 ____D C:\Users\Поспелиха ПТО\AppData\Local\Temp\4 2017-11-13 11:05 - 2017-01-09 08:05 - 000000000 ____D C:\Users\Поспелиха ПТО1\AppData\Local\Temp\5 2017-11-13 10:44 - 2017-02-02 10:12 - 000000000 ____D C:\Users\Поспелиха ПТО\AppData\Local\Temp\5 2017-11-11 16:14 - 2017-10-12 08:00 - 000000000 ____D C:\Users\Поспелиха\AppData\Local\Temp\1 2017-11-10 11:38 - 2017-02-21 16:05 - 000000000 ____D C:\Users\Безрукавка\AppData\Local\Temp\4 2017-11-10 08:54 - 2017-01-10 08:24 - 000000000 ____D C:\Users\Тецких\AppData\Local\Temp\5 2017-11-10 08:28 - 2017-08-30 16:18 - 000000000 ____D C:\Users\Безрукавка\AppData\Local\Temp\1 2017-11-10 08:10 - 2017-08-29 14:46 - 000000000 ____D C:\Users\Тецких\AppData\Local\Temp\4 2017-11-10 00:11 - 2014-10-30 09:36 - 000003290 _____ C:\Windows\System32\Tasks\BackUp 2017-11-09 16:20 - 2017-01-10 10:45 - 000000000 ____D C:\Users\Безрукавка\AppData\Local\Temp\10 2017-11-09 14:38 - 2017-01-10 14:55 - 000000000 ____D C:\Users\Горняк\AppData\Local\Temp\11 2017-11-09 10:07 - 2017-02-27 08:37 - 000000000 ____D C:\Users\Говорова\AppData\Local\Temp\6 2017-11-08 17:48 - 2017-02-06 08:40 - 000000000 ____D C:\Users\Поспелиха ПТО\AppData\Local\Temp\3 2017-11-08 16:37 - 2017-01-16 16:27 - 000000000 ____D C:\Users\Безрукавка\AppData\Local\Temp\7 2017-11-08 14:50 - 2017-01-16 14:05 - 000000000 ____D C:\Users\Горняк\AppData\Local\Temp\10 2017-11-07 20:18 - 2017-09-02 17:43 - 000000000 ____D C:\Users\Администратор\AppData\Local\Temp\1 2017-11-07 16:50 - 2017-01-26 08:20 - 000000000 ____D C:\Users\Поспелиха2\AppData\Local\Temp\4 2017-11-07 15:32 - 2017-02-21 11:03 - 000000000 ____D C:\Users\Говорова\AppData\Local\Temp\8 2017-11-07 04:19 - 2017-08-26 09:06 - 000000000 ____D C:\Users\scan\AppData\Local\Temp\5 2017-11-03 15:27 - 2017-01-26 08:27 - 000000000 ____D C:\Users\Поспелиха зп\AppData\Local\Temp\6 2017-11-03 12:13 - 2017-02-01 15:03 - 000000000 ____D C:\Users\Горняк\AppData\Local\Temp\5 2017-11-03 11:48 - 2017-01-24 09:10 - 000000000 ____D C:\Users\Поспелиха ПТО\AppData\Local\Temp\9 2017-11-02 16:28 - 2017-01-20 11:46 - 000000000 ____D C:\Users\Безрукавка\AppData\Local\Temp\9 2017-11-02 16:21 - 2017-02-15 08:05 - 000000000 ____D C:\Users\Поспелиха ПТО1\AppData\Local\Temp\10 2017-10-31 19:39 - 2017-06-20 10:05 - 000000000 ____D C:\Users\Поспелиха2\AppData\Local\Temp\9 2017-10-31 08:12 - 2017-05-11 08:11 - 000000000 ____D C:\Users\Поспелиха2\AppData\Local\Temp\5 2017-10-31 08:00 - 2017-01-09 08:06 - 000000000 ____D C:\Users\Юрист\AppData\Local\Temp\6 2017-10-31 01:49 - 2017-01-26 08:07 - 000000000 ____D C:\Users\Поспелиха ПТО1\AppData\Local\Temp\3 2017-10-30 15:37 - 2017-04-07 08:43 - 000000000 ____D C:\Users\Горняк\AppData\Local\Temp\7 2017-10-30 09:32 - 2017-01-10 08:33 - 000000000 ____D C:\Users\Поспелиха зп\AppData\Local\Temp\4 2017-10-27 16:25 - 2017-10-05 07:55 - 000000000 ____D C:\Users\Тецких\AppData\Local\Temp\7 2017-10-27 13:38 - 2017-03-29 08:49 - 000000000 ____D C:\Users\Поспелиха зп\AppData\Local\Temp\9 2017-10-26 15:27 - 2017-01-11 10:07 - 000000000 ____D C:\Users\Безрукавка\AppData\Local\Temp\11 2017-10-24 15:56 - 2017-02-28 08:08 - 000000000 ____D C:\Users\Поспелиха1\AppData\Local\Temp\11 2017-10-19 16:57 - 2017-01-20 08:17 - 000000000 ____D C:\Users\Поспелиха ПТО\AppData\Local\Temp\8 2017-10-19 15:05 - 2017-02-20 09:02 - 000000000 ____D C:\Users\Поспелиха1\AppData\Local\Temp\10 2017-10-18 16:01 - 2017-01-19 16:22 - 000000000 ____D C:\Users\Безрукавка\AppData\Local\Temp\8 FirewallRules: [{B8A6D2CE-629F-40C2-A302-D31CB4C74536}] => (Allow) C:\Users\Администратор\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{DDF0899D-C494-4CD6-8070-80301390420C}] => (Allow) C:\Users\Администратор\AppData\Local\MediaGet2\mediaget.exe End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перезагрузите компьютер вручную. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Alsus Опубликовано 16 ноября, 2017 Автор Share Опубликовано 16 ноября, 2017 Вариантов расшифровки тоже нет? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 16 ноября, 2017 Share Опубликовано 16 ноября, 2017 При наличии лицензии на любой из продуктов Касперского можете создать запрос на расшифровку. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти