Перейти к содержанию

Файлы, помещенные в архив с паролем

PavelWRC
 Share

Рекомендуемые сообщения

PavelWRC Новичок

PavelWRC

Опубликовано
Опубликовано

Здравствуйте! Такая ситуация: на ПК проникла зараза, помещающая файлы в архив. На архив ставится пароль. При этом запароленный архив остается на ПК. Прошу помощи в расшифровке. На ПК был установлен AnyDesk, однако пароль для доступа через него был достаточно надежным, содержал символы разных регистров, цифры и специмволы. Интуитивно грешу на то, что архив с паролем был создан человеком вручную, а не какой либо вредоносной программой, возможно доступ через AnyDesk был кем то перехвачен. Согласно правилам форума прикладываю отчеты, составленные программой Farbar Recovery Scan Tool, образцы возможной найденной заразы (найдены при помощи Dr.Web CureIT) и файл с требованиями. Сам запароленый архив (объем более 5 Гб) доступен на яндекс.диске по ссылке: https://disk.yandex.ru/d/vnfKTFssSfa6_Q

Addition.txt FRST.txt Образцы и файл с требованиями.rar

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

С разархивированием помочь не сможем. Будет только зачистка мусора..

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать? 

Start::
CreateRestorePoint:
HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\InstalledSDB\{d847be8d-f997-4860-a27c-22085498a593}: [DatabasePath] -> C:\Windows\AppPatch\Custom\Custom64\{d847be8d-f997-4860-a27c-22085498a593}.sdb [2021-07-27]
HKLM\Software\...\AppCompatFlags\InstalledSDB\{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}: [DatabasePath] -> C:\Windows\AppPatch\Custom\{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb [2021-07-27]
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
IFEO\magnify.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-03-02] () [Файл не подписан] [Файл уже используется]
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe [2020-10-14] () [Файл не подписан]
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-03-02] () [Файл не подписан]
Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-03-02] () [Файл не подписан]
Startup: C:\Users\CBSSRV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-03-02] () [Файл не подписан]
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\Users\CBSSRV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • 577kar
      Файлы заархивированы с паролем
      От 577kar
      Добрый день, обнаружили заархивированные с паролем файлы. Текстовый файл с адресом для запроса пароля для выкупа.
      Был открыт RDP порт на роутере для удаленного подключения на сервер, предположительно взлом или подбор паролей.
      FRST.7z Mail.7z
    • Alex Mor
      БД 1С и часть других файлов перемещены в RAR архив с паролем
      От Alex Mor
      Добрый день, Коллеги, столкнулся проблемой произошла утечка реквизитов одной из УЗ администраторов на win сервере, после чего злоумышленники подключились по RDP и переместили файлы БД 1С в запароленный RAR архив, в письме у злоумышленников указаны требования выкупа пароля и контакт:  kelianydo@gmail.com, если сталкивались, прошу помочь.
      пароль к архиву - копия (107) — копия — копия — копия — копия.txt
      CHANGES.txt NOTICE.txt
    • K0st
      Файлы заархивированы с паролем с требованием выкупа
      От K0st
      Здравствуйте! Обнаружили запароленные данные. Архивы по нескольку десятков ГБ. Базы 1С и всё такое. В корне файл с описанием выкупа. Как можно распаковать и всё вернуть?
    • Acteon_927
      Kaspersky Plus поиск утечки паролей.
      От Acteon_927
      Завел в офисе Альфа-банка пластиковую карту, мне выдали временные логин и пароль для Альфа-онлай. При первом заходе в личный кабинет сменил эти временные данные, хотя мог использовать их еще месяц. И вот KP сообщил об утечке пароля временного аккаунта. Где могла произойти утечка? Мой ПК защищен KP, браузеры в режиме безопасных платежей. Ранее были сообщения о моих утечках на сайтах Леруа-Мерлен, фото. Указывалось имя почтового ящика яндекс почты. Теперь предупреждение об этом почтовом ящике исчезло. Я поменял для него пароль.
    • a.n.d.r.e.w
      Получил подарочек на Новый Год. Зараза зашифровала рабочий архив (((((((
      От a.n.d.r.e.w
      Привет, друзья. У меня небольшая организация, 5 рабочих мест, сисадмина нет. Есть виртуальный MS Server 2019 на VMWare работающий на одной из машин. Сервер используется как файловое хранилище и еще на нем sql работает для 1С. В конце декабря обновлял лицензию антивируса, оплатил Premium, который пытался установить и на сервер тоже, конечно не вышло. Думаю когда я искал браузер для установки антивируса тогда и налетел, потому что существующий IE не поддерживался. Последний раз работал 30.12.24, всё было норм. Когда решил заскочить проверить после НГ 01.01.25 обнаружил проблему. С машиной на которой стояла VMW всё хорошо, а в виртуальной системе все плохо. Я конечно все остановил сразу, но уже поздно было. Есть бэкап от октября, поэтому есть оригинальные файлы для анализа. Бесплатные утилиты пробовал, не получилось ничего, хотя может из-за кривых рук. Виртуальные диски скопировал. Монтировал напрямую, проверял антивирусом. Экспериментировал на копиях.
      Друзья, прошу помощи. Готов заплатить за работу!
       
      P.S. Во вложении несколько архивов
      xls, jpeg -в каждом два файла оригинал + шифрованный 
      pic - скриншоты
      htr - требования
      RFST - отчет Farbar Recovery Scan Tool 
      (местонахождение вируса выяснить не смог)
       
       
      htr.rar jpeg.rar pic.rar RFST.rar xls.rar
×
×
  • Создать...