Перейти к содержанию

.combo файлы от stopencrypt@qq.com

ArtAlex
 Поделиться

Рекомендуемые сообщения

ArtAlex

ArtAlex

Опубликовано
Опубликовано

По всей видимости, через незащищенный RDP произошел взлом и были зашифрованы все файлы.

Доступ уже ограничил, осталось только почистить заразу и, в идеале восстановить файлы.

 

Пошарил подобные темы на форуме, +- почистил KVRT, собрал логи с помощью AutoLogger'а. Файлики в приложении.

 

Так же просканировал с FRST (Farbar Recovery Scan Tool). Репорты так же в приложении.

 

Пожалуйста, подскажите, что можно сделать.

 

Заранее спасибо.

 

Kindest Regards,
Aleksandr.
 

CollectionLog-2018.11.06-12.16.zip

FRST.txt

Shortcut.txt

Addition.txt

report1.log

report2.log

thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки нет. Будет только зачистка следов мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2018-11-05] ()
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\RunOnce: [{48014C57-3B2A-49CD-B87F-952FCB0EB603}] => cmd.exe /C start /D "C:\Users\Alex\AppData\Local\Temp" /B {48014C57-3B2A-49CD-B87F-952FCB0EB603}.cmd
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3020800471-500416173-3447199613-1001\...\Run: [C:\Users\Alex\AppData\Roaming\Info.hta] => C:\Users\Alex\AppData\Roaming\Info.hta [13919 2018-11-06] ()
Startup: C:\Users\Alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-11-06] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-11-05] ()
GroupPolicy: Restriction ? <==== ATTENTION
C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
2018-11-05 17:55 - 2018-11-06 10:29 - 000013919 _____ C:\Users\Alex\AppData\Roaming\Info.hta
2018-11-05 17:55 - 2018-11-06 10:29 - 000000170 _____ C:\Users\Alex\Desktop\FILES ENCRYPTED.txt
2018-11-05 17:55 - 2018-11-05 17:55 - 000013919 _____ C:\Windows\system32\Info.hta
2018-11-05 17:55 - 2018-11-05 17:55 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...