cybase 0 Опубликовано 22 июня, 2021 Share Опубликовано 22 июня, 2021 https://postimg.cc/0bZBhm0m фото содержимое папки Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 июня, 2021 Share Опубликовано 22 июня, 2021 Правила оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
cybase 0 Опубликовано 22 июня, 2021 Автор Share Опубликовано 22 июня, 2021 Добрый день после перезагрузки компьютера все файлы зашифрованы, есть еще папка "на дедик" в которой файлы создающие учетную запись и тд(папка в архиве 1 вместе с зашифрованным файлом), прилагаю логи сканирования. Очень нужна помощь так как копии файлов на другом пк тоже зашифрованы. 1.rar Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 июня, 2021 Share Опубликовано 22 июня, 2021 Цитата Administrator (S-1-5-21-3019861478-2420880730-3075451242-500 - Administrator - Enabled) Manager2 (S-1-5-21-3019861478-2420880730-3075451242-1031 - Administrator - Enabled) => C:\Users\Manager2 Nat (S-1-5-21-3019861478-2420880730-3075451242-1024 - Administrator - Enabled) System32 (S-1-5-21-3019861478-2420880730-3075451242-1050 - Administrator - Enabled) не многовато пользователей с правами администратора? Они все Вам известны? 1. Выделите следующий код: Start:: CreateRestorePoint: S1 rlvafyop; \??\C:\Windows\system32\drivers\rlvafyop.sys [X] S1 rxlsfegg; \??\C:\Windows\system32\drivers\rxlsfegg.sys [X] S1 zgcektdl; \??\C:\Windows\system32\drivers\zgcektdl.sys [X] S2 qadswdg; C:\Windows\Inf\storagevservicedbs\000D\1049\5.0\1049\5.0\mms.exe [X] S2 strwerd; C:\Windows\Inf\storagevservicedbs\000D\1049\5.0\SQL\lsm.exe [X] S2 wmsvinsdbvmsqlsrvrms; C:\Windows\Inf\msvsqlserverdbvsm\001D\0419\0409\0409\sqldb.exe [X] Task: {A7AE0D63-6A90-4386-A81D-D87AE7C98E89} - System32\Tasks\Microsoft\Windows\Browser\MWR => cmd.exe /c taskkill /f /im wahiver.exe /t C:\Windows\Inf\storagevservicedbs\000D IFEO\perfmon.exe: [Debugger] svchost.exe IFEO\ProcessHacker.exe: [Debugger] svchost.exe IFEO\procexp.exe: [Debugger] svchost.exe IFEO\procexp64.exe: [Debugger] svchost.exe IFEO\resmon.exe: [Debugger] svchost.exe IFEO\taskmgr32.exe: [Debugger] svchost.exe IFEO\taskmgr64.exe: [Debugger] svchost.exe HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ FirewallRules: [TCP Query User{D089EF6C-A998-47B0-8CD6-D204300B5839}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe => Нет файла FirewallRules: [UDP Query User{89818595-FBD3-42C3-B282-15EE3B011548}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe => Нет файла FirewallRules: [TCP Query User{93FD1DE2-C5E1-4656-BFCF-B69ACF5F703D}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe => Нет файла FirewallRules: [UDP Query User{B44F897B-1E64-42D6-9666-A3F873DB33A1}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe => Нет файла FirewallRules: [TCP Query User{85D29FC2-BE4D-4960-BA09-300F8FAFA3A7}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe => Нет файла FirewallRules: [UDP Query User{01884D5F-6B16-4797-8726-92AFA26A5FC0}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe => Нет файла FirewallRules: [TCP Query User{A70AEEED-579F-4F09-81DA-A94B87274D06}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe => Нет файла FirewallRules: [UDP Query User{EBC08CFE-874B-4DEF-9A5C-76FCF35F0C6B}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe => Нет файла FirewallRules: [TCP Query User{B4571EE2-A190-4BF5-A51E-D894F948D9B2}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe => Нет файла FirewallRules: [UDP Query User{87637780-7EC9-4E2A-9A00-27A0DB6F0735}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe => Нет файла FirewallRules: [TCP Query User{8768FB3A-C338-4F5C-A633-5FDEA216BE42}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe => Нет файла FirewallRules: [UDP Query User{4BD54B55-D19E-48DB-96AF-C9929142202D}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe => Нет файла FirewallRules: [TCP Query User{E9CA514C-C063-4863-9DED-BA839CAE1865}C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe] => (Allow) C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe => Нет файла FirewallRules: [UDP Query User{54581913-902C-4CA6-BF28-244CFFCD652A}C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe] => (Allow) C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe => Нет файла FirewallRules: [{EFAE1398-5740-4668-8731-EB41C7F211B9}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC) FirewallRules: [TCP Query User{D1E78E6A-FD68-4F4C-BEC2-96576372998B}C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe] => (Block) C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe => Нет файла FirewallRules: [UDP Query User{CE307372-9695-4E65-92F9-E8EDEE71E04F}C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe] => (Block) C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe => Нет файла End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать). 3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта. Цитата Ссылка на сообщение Поделиться на другие сайты
cybase 0 Опубликовано 22 июня, 2021 Автор Share Опубликовано 22 июня, 2021 Fixlog.txt Только что, thyrex сказал: Manager2 (S-1-5-21-3019861478-2420880730-3075451242-1031 - Administrator - Enabled) => C:\Users\Manager2 -это не админ Nat (S-1-5-21-3019861478-2420880730-3075451242-1024 - Administrator - Enabled) это не админ System32 (S-1-5-21-3019861478-2420880730-3075451242-1050 - Administrator - Enabled) а этот пользователь создан файлами из папки дедик Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 июня, 2021 Share Опубликовано 22 июня, 2021 Первые два - это пользователи с правами Администратора, а пользователя System32 удалите. По поводу расшифровки: похоже на GlobeImposter 2. С расшифровкой помочь не сможем. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.