Перейти к содержанию

.combo файлы от stopencrypt@qq.com


Рекомендуемые сообщения

По всей видимости, через незащищенный RDP произошел взлом и были зашифрованы все файлы.

Доступ уже ограничил, осталось только почистить заразу и, в идеале восстановить файлы.

 

Пошарил подобные темы на форуме, +- почистил KVRT, собрал логи с помощью AutoLogger'а. Файлики в приложении.

 

Так же просканировал с FRST (Farbar Recovery Scan Tool). Репорты так же в приложении.

 

Пожалуйста, подскажите, что можно сделать.

 

Заранее спасибо.

 

Kindest Regards,
Aleksandr.

 

CollectionLog-2018.11.06-12.16.zip

FRST.txt

Shortcut.txt

Addition.txt

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты

Расшифровки нет. Будет только зачистка следов мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13919 2018-11-05] ()
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\RunOnce: [{48014C57-3B2A-49CD-B87F-952FCB0EB603}] => cmd.exe /C start /D "C:\Users\Alex\AppData\Local\Temp" /B {48014C57-3B2A-49CD-B87F-952FCB0EB603}.cmd
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3020800471-500416173-3447199613-1001\...\Run: [C:\Users\Alex\AppData\Roaming\Info.hta] => C:\Users\Alex\AppData\Roaming\Info.hta [13919 2018-11-06] ()
Startup: C:\Users\Alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-11-06] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-11-05] ()
GroupPolicy: Restriction ? <==== ATTENTION
C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
2018-11-05 17:55 - 2018-11-06 10:29 - 000013919 _____ C:\Users\Alex\AppData\Roaming\Info.hta
2018-11-05 17:55 - 2018-11-06 10:29 - 000000170 _____ C:\Users\Alex\Desktop\FILES ENCRYPTED.txt
2018-11-05 17:55 - 2018-11-05 17:55 - 000013919 _____ C:\Windows\system32\Info.hta
2018-11-05 17:55 - 2018-11-05 17:55 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Maximus02
      От Maximus02
      1.zip
       
      Здравствуйте!
       
      Словили шифровальшик. Пока не выяснили источник, где был произведен запуск шифровальщика. Есть зашифрованные файлы с размером и окончанием .tae7AeTe. Также есть оригинальный файл с нулевым окончанием. Зашифровано все на NAS Synology.
      Помогите пожалуйста с расшифровкой, если это возможно.
×
×
  • Создать...