Перейти к содержанию

Шифровльщик harma277@gmx.de]


Рекомендуемые сообщения

Зашифровали ночью сервер БД и Сервер терминалов


Приложил файл и текст вымогателя


Вот файлы проверки  Farbar Recovery Scan Tool 

FileZilla Server Interface.lnk.id-74FAC073.harma277@gmx.de.harma.zip

FILES ENCRYPTED.zip

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Вас же просили собрать логи по правилам.

Так я сделал, вот логи

 

Вас же просили собрать логи по правилам.

Так я сделал, вот логи

 

Извините 

Пытаюсь вложить логи - пишет ошибку

 

An error occured with the SQL server:

mySQL query error: SELECT COUNT(*) as topicviews FROM topic_views WHERE views_tid=64818

This is not a problem with the IPS Community Suite but rather with your SQL server. Please contact your host and copy the message shown above.

Пытаюсь вложить логи - пишет ошибку

 

An error occured with the SQL server:

mySQL query error: SELECT COUNT(*) as topicviews FROM topic_views WHERE views_tid=64818

This is not a problem with the IPS Community Suite but rather with your SQL server. Please contact your host and copy the message shown above.

Логи

Логи

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
() [File not signed] C:\Windows\System32\LS0BK2_payload.exe
HKLM\...\Run: [LS0BK2_payload.exe] => C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe [94720 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Users\a.fedorov\AppData\Roaming\Info.hta] => C:\Users\a.fedorov\AppData\Roaming\Info.hta [13918 2020-03-02] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13918 2020-03-03] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-02] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-02] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe
C:\Windows\System32\LS0BK2_payload.exe
2020-03-03 10:16 - 2020-03-03 10:16 - 000013918 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-03-02 23:04 - 2020-03-02 23:04 - 000094720 _____ C:\Users\a.fedorov\AppData\Roaming\LS0BK2_payload.exe
2020-03-02 23:03 - 2020-03-03 10:16 - 000013918 _____ C:\Windows\system32\Info.hta
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:04 - 000013918 _____ C:\Users\a.fedorov\AppData\Roaming\Info.hta
2020-03-02 23:03 - 2020-03-02 23:04 - 000000218 _____ C:\Users\a.fedorov\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:03 - 000094720 _____ C:\Windows\system32\LS0BK2_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
() [File not signed] C:\Windows\System32\LS0BK2_payload.exe
HKLM\...\Run: [LS0BK2_payload.exe] => C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe [94720 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-03-03] () [File not signed]
HKLM\...\Run: [C:\Users\a.fedorov\AppData\Roaming\Info.hta] => C:\Users\a.fedorov\AppData\Roaming\Info.hta [13918 2020-03-02] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13918 2020-03-03] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-02] () [File not signed]
Startup: C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-02] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe [2020-03-03] () [File not signed]
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\a.fedorov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LS0BK2_payload.exe
C:\Users\Администратор\AppData\Roaming\LS0BK2_payload.exe
C:\Windows\System32\LS0BK2_payload.exe
2020-03-03 10:16 - 2020-03-03 10:16 - 000013918 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-03-02 23:04 - 2020-03-02 23:04 - 000094720 _____ C:\Users\a.fedorov\AppData\Roaming\LS0BK2_payload.exe
2020-03-02 23:03 - 2020-03-03 10:16 - 000013918 _____ C:\Windows\system32\Info.hta
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-03 10:16 - 000000218 _____ C:\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:04 - 000013918 _____ C:\Users\a.fedorov\AppData\Roaming\Info.hta
2020-03-02 23:03 - 2020-03-02 23:04 - 000000218 _____ C:\Users\a.fedorov\Desktop\FILES ENCRYPTED.txt
2020-03-02 23:03 - 2020-03-02 23:03 - 000094720 _____ C:\Windows\system32\LS0BK2_payload.exe
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...