Перейти к содержанию

Шифровальщик .id-E6D8821B.[restorehelp@qq.com].bip

halaboa
 Поделиться

Рекомендуемые сообщения

halaboa

halaboa

Опубликовано
Опубликовано

Зашифровались только документы.

Система не перезагружалась.

 

Касперский совсем ничего не находит.

 

Cureit находит 30.exe как Trojan.Encoder.3953 по пути c:\Users\test.SERVER1C\AppData\Roaming\ и c:\Users\test.SERVER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

 

Интересует правильно почистить систему от трояна и следов.

Дешифровка желательна, но преживем и без нее....

CollectionLog-2018.07.27-12.50.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано
C:\Users\test.SERVER1C\AppData\Roaming\Info.hta

C:\Users\test.SERVER1C\Desktop\FILES ENCRYPTED.txt

 

удалите вручную.

 

Больше ничего плохого. Возможно, если сделать логи в проблемной учетке, найдется что-либо еще

halaboa

halaboa

Опубликовано
  • Автор
Опубликовано

как я понимаю c:\Users\test.SERVER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\30.exe и c:\Users\test.SERVER1C\AppData\Roaming\30.exe  тоже поудалять?

все шифрованные тоже могу удалять смело?

thyrex

thyrex

Опубликовано
Опубликовано

 

 


ак я понимаю c:\Users\test.SERVER1C\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\30.exe и c:\Users\test.SERVER1C\AppData\Roaming\30.exe  тоже поудалять?
если они есть, удаляйте.

 

С расшифровкой помочь не сможем.

regist

regist

Опубликовано
Опубликовано

@halaboa, просьба сделайте экспорт ключа реестра

HKU\S-1-5-80-3038775161-878922232-1125894187-3506562229-3126804295\

заархивируйте и прикрепите к сообщению.

halaboa

halaboa

Опубликовано
  • Автор
Опубликовано

@halaboa, просьба сделайте экспорт ключа реестра

HKU\S-1-5-80-3038775161-878922232-1125894187-3506562229-3126804295\

заархивируйте и прикрепите к сообщению.

 Для чего?

regist

regist

Опубликовано
Опубликовано

для улучшения работы наших утилит.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      Автор Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
    • FineGad
      Шифровальщик WantToCry
      Автор FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • lex-xel
      Сервер подвергся взлому
      Автор lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
×
×
  • Создать...