Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Шифровльщик harma277@gmx.de]

VladimirP
 Поделиться

Рекомендуемые сообщения

VladimirP

VladimirP

Опубликовано
  • Автор
Опубликовано

Вас же просили собрать логи по правилам.

Так я сделал, вот логи

 

Вас же просили собрать логи по правилам.

Так я сделал, вот логи

 

Извините 

Пытаюсь вложить логи - пишет ошибку

 

An error occured with the SQL server:

mySQL query error: SELECT COUNT(*) as topicviews FROM topic_views WHERE views_tid=64818

This is not a problem with the IPS Community Suite but rather with your SQL server. Please contact your host and copy the message shown above.

Пытаюсь вложить логи - пишет ошибку

 

An error occured with the SQL server:

mySQL query error: SELECT COUNT(*) as topicviews FROM topic_views WHERE views_tid=64818

This is not a problem with the IPS Community Suite but rather with your SQL server. Please contact your host and copy the message shown above.

Логи

Логи

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
() [File not signed] C:\Windows\System32\LS0BK2_payload.exe
HKLM\...\Run: [LS0BK2_payload.exe] => C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe [94720 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Users\a.fedorov\AppData\Roaming\Info.hta] => C:\Users\a.fedorov\AppData\Roaming\Info.hta [13918 2020-03-02] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13918 2020-03-03] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-02] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-02] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe
C:\Windows\System32\LS0BK2_payload.exe
2020-03-03 10:16 - 2020-03-03 10:16 - 000013918 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-03-02 23:04 - 2020-03-02 23:04 - 000094720 _____ C:\Users\a.fedorov\AppData\Roaming\LS0BK2_payload.exe
2020-03-02 23:03 - 2020-03-03 10:16 - 000013918 _____ C:\Windows\system32\Info.hta
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:04 - 000013918 _____ C:\Users\a.fedorov\AppData\Roaming\Info.hta
2020-03-02 23:03 - 2020-03-02 23:04 - 000000218 _____ C:\Users\a.fedorov\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:03 - 000094720 _____ C:\Windows\system32\LS0BK2_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
VladimirP

VladimirP

Опубликовано
  • Автор
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
() [File not signed] C:\Windows\System32\LS0BK2_payload.exe
HKLM\...\Run: [LS0BK2_payload.exe] => C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe [94720 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Users\a.fedorov\AppData\Roaming\Info.hta] => C:\Users\a.fedorov\AppData\Roaming\Info.hta [13918 2020-03-02] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13918 2020-03-03] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-02] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-02] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe
C:\Windows\System32\LS0BK2_payload.exe
2020-03-03 10:16 - 2020-03-03 10:16 - 000013918 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-03-02 23:04 - 2020-03-02 23:04 - 000094720 _____ C:\Users\a.fedorov\AppData\Roaming\LS0BK2_payload.exe
2020-03-02 23:03 - 2020-03-03 10:16 - 000013918 _____ C:\Windows\system32\Info.hta
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:04 - 000013918 _____ C:\Users\a.fedorov\AppData\Roaming\Info.hta
2020-03-02 23:03 - 2020-03-02 23:04 - 000000218 _____ C:\Users\a.fedorov\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:03 - 000094720 _____ C:\Windows\system32\LS0BK2_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Ответить можно было и без полного цитирования выданной Вам рекомендации.

 

С расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей47
      c0v1d19@job4u.com
      Автор Сергей47
      Кто-нибудь сталкивался с этим?
    • bigV
      Нужна помощь в расшифровке *.id-3E7283FC.[everyday@dr.com].myday
      Автор bigV
      Прошу помочь в расшифровке.
      Есть база данный MySQL на 6 Gb, и файловое хранилище, основная цель дешифровать эти файлы.

      Если расшифровка невозможна, прошу указать в ответе.
      Заранее благодарю.
      ----------------------
      Please help me decrypt files. There is a 6 Gb MySQL database, and file storage, the main purpose is to decrypt these files. If decryption is not possible, please indicate in the answer. Thank you in advance.
      encrypted and orig files.7z
      FILES ENCRYPTED.txt
    • Stedxem91
      Помогите спасти точки восстановления!
      Автор Stedxem91
      Здравствуйте! У меня несколько не стандартная ситуация! В организации 4 компьютера заражены вирусом шифровальщиком с почтой james2020m@aol.com, странно что не в хронологическом порядке и не с общими папками! Три из них заражены полностью, то есть камня на камне не осталось от информации, затерто буквально все что можно, но есть один, по которому он прошелся всего ничего - зашифровал три базы 1с из 20 примерно, все документы в порядке, это я смотрю через live cd. Но я также вижу, что у него живые точки восстановления! В папке system volume information, там файлы по 5 гигабайт не зашифрованы! Я так понимаю, что если я заведу компьютер в обычном режиме - то вирус продолжит свою работу! Если же не заведу - то не смогу воспользоваться точкам восстановления! Подскажите, как его остановить, чтобы можно было запустить систему и предыдущие версии баз восстановить!
      DESKPR.0.rar Подпись модуль.2.jpg.id-043779A6.[James2020m@aol.com].rar
    • test17
      PROJECTBLACK@CRIPTEXT.COM - кидалово
      Автор test17
      PROJECTBLACK@CRIPTEXT.COM
       
      Не платите выкуп данному мошеннику!
      Это кидалово.
      Деньги перечислены - декриптора нет уже неделю!
      Потеряны деньги, потеряно время.
       
      Do not pay a ransom to this fraudster!
      This is a scam.
      The money has been transferred - the descriptor has been missing for a week!
    • mixa200z
      Шифровальщик [projectblack@criptext.com].PB
      Автор mixa200z
      28.06.2021 залетел вирус  
      Каталоги 2018.zip FILES ENCRYPTED.txt
×
×
  • Создать...