Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровльщик harma277@gmx.de]

VladimirP
 Поделиться

Рекомендуемые сообщения

VladimirP Новичок

VladimirP

Опубликовано
Опубликовано

Зашифровали ночью сервер БД и Сервер терминалов


Приложил файл и текст вымогателя


Вот файлы проверки  Farbar Recovery Scan Tool 

FileZilla Server Interface.lnk.id-74FAC073.harma277@gmx.de.harma.zip

FILES ENCRYPTED.zip

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
VladimirP Новичок

VladimirP

Опубликовано
  • Автор
Опубликовано

Вас же просили собрать логи по правилам.

Так я сделал, вот логи

 

Вас же просили собрать логи по правилам.

Так я сделал, вот логи

 

Извините 

Пытаюсь вложить логи - пишет ошибку

 

An error occured with the SQL server:

mySQL query error: SELECT COUNT(*) as topicviews FROM topic_views WHERE views_tid=64818

This is not a problem with the IPS Community Suite but rather with your SQL server. Please contact your host and copy the message shown above.

Пытаюсь вложить логи - пишет ошибку

 

An error occured with the SQL server:

mySQL query error: SELECT COUNT(*) as topicviews FROM topic_views WHERE views_tid=64818

This is not a problem with the IPS Community Suite but rather with your SQL server. Please contact your host and copy the message shown above.

Логи

Логи

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
() [File not signed] C:\Windows\System32\LS0BK2_payload.exe
HKLM\...\Run: [LS0BK2_payload.exe] => C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe [94720 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Users\a.fedorov\AppData\Roaming\Info.hta] => C:\Users\a.fedorov\AppData\Roaming\Info.hta [13918 2020-03-02] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13918 2020-03-03] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-02] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-02] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe
C:\Windows\System32\LS0BK2_payload.exe
2020-03-03 10:16 - 2020-03-03 10:16 - 000013918 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-03-02 23:04 - 2020-03-02 23:04 - 000094720 _____ C:\Users\a.fedorov\AppData\Roaming\LS0BK2_payload.exe
2020-03-02 23:03 - 2020-03-03 10:16 - 000013918 _____ C:\Windows\system32\Info.hta
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:04 - 000013918 _____ C:\Users\a.fedorov\AppData\Roaming\Info.hta
2020-03-02 23:03 - 2020-03-02 23:04 - 000000218 _____ C:\Users\a.fedorov\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:03 - 000094720 _____ C:\Windows\system32\LS0BK2_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
Ссылка на комментарий
Поделиться на другие сайты
VladimirP Новичок

VladimirP

Опубликовано
  • Автор
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
() [File not signed] C:\Windows\System32\LS0BK2_payload.exe
HKLM\...\Run: [LS0BK2_payload.exe] => C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe [94720 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Users\a.fedorov\AppData\Roaming\Info.hta] => C:\Users\a.fedorov\AppData\Roaming\Info.hta [13918 2020-03-02] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13918 2020-03-03] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-02] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-02] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe
C:\Windows\System32\LS0BK2_payload.exe
2020-03-03 10:16 - 2020-03-03 10:16 - 000013918 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-03-02 23:04 - 2020-03-02 23:04 - 000094720 _____ C:\Users\a.fedorov\AppData\Roaming\LS0BK2_payload.exe
2020-03-02 23:03 - 2020-03-03 10:16 - 000013918 _____ C:\Windows\system32\Info.hta
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:04 - 000013918 _____ C:\Users\a.fedorov\AppData\Roaming\Info.hta
2020-03-02 23:03 - 2020-03-02 23:04 - 000000218 _____ C:\Users\a.fedorov\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:03 - 000094720 _____ C:\Windows\system32\LS0BK2_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kov44
      Помощь в дешифровке restore1_helper@gmx.de
      Автор kov44
      Добрый день! Несколько компьютеров в сети подверглись атаке вируса-шифровальщика. Вымогатель предлагает осуществить выкуп за помощь с дешифровкой за биткоины.
      Файлы были переименованы, в конце каждого суффикс "id[e2bdbcde-3259].[restore1_helper@gmx.de].Banta"
      Кто-нибудь сталкивался? Возможно дешифровка данных файлов
      Вот архив, в нем зашифрованные файлы, а также два файла info с требованием о выплате выкупа
      virus.rar
    • JIEXA
      Схватил шифровальщик restore1_helper@gmx.de
      Автор JIEXA
      encrypted.zipFRST.txtAddition.txt2_fles.zip
      Подхватил заразу через рдп, подобрали пароль походу. В архиве 2_files находятся файл зашифрованный и файл оригинал.
    • imagic
      Нужна помощь с [restore1_helper@gmx.de].Banta
      Автор imagic
      Парни,
      Помогите справится с монстром!
    • RomanK
      шифровальщик banta. [restore1_helper@gmx.de].Banta
      Автор RomanK
      Здравствуйте! Поймал шифровальщик. Могли бы вы помочь с расшифровкой? Файлы во вложении. Спасибо.
      FRST.txt зашифрованные файлы.zip
×
×
  • Создать...