Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Файлы, помещенные в архив с паролем

PavelWRC
 Поделиться

Рекомендуемые сообщения

PavelWRC

PavelWRC

Опубликовано
Опубликовано

Здравствуйте! Такая ситуация: на ПК проникла зараза, помещающая файлы в архив. На архив ставится пароль. При этом запароленный архив остается на ПК. Прошу помощи в расшифровке. На ПК был установлен AnyDesk, однако пароль для доступа через него был достаточно надежным, содержал символы разных регистров, цифры и специмволы. Интуитивно грешу на то, что архив с паролем был создан человеком вручную, а не какой либо вредоносной программой, возможно доступ через AnyDesk был кем то перехвачен. Согласно правилам форума прикладываю отчеты, составленные программой Farbar Recovery Scan Tool, образцы возможной найденной заразы (найдены при помощи Dr.Web CureIT) и файл с требованиями. Сам запароленый архив (объем более 5 Гб) доступен на яндекс.диске по ссылке: https://disk.yandex.ru/d/vnfKTFssSfa6_Q

Addition.txt FRST.txt Образцы и файл с требованиями.rar

thyrex

thyrex

Опубликовано
Опубликовано

С разархивированием помочь не сможем. Будет только зачистка мусора..

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать? 

Start::
CreateRestorePoint:
HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\InstalledSDB\{d847be8d-f997-4860-a27c-22085498a593}: [DatabasePath] -> C:\Windows\AppPatch\Custom\Custom64\{d847be8d-f997-4860-a27c-22085498a593}.sdb [2021-07-27]
HKLM\Software\...\AppCompatFlags\InstalledSDB\{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}: [DatabasePath] -> C:\Windows\AppPatch\Custom\{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb [2021-07-27]
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
IFEO\magnify.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-03-02] () [Файл не подписан] [Файл уже используется]
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe [2020-10-14] () [Файл не подписан]
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-03-02] () [Файл не подписан]
Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-03-02] () [Файл не подписан]
Startup: C:\Users\CBSSRV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-03-02] () [Файл не подписан]
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\Users\CBSSRV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      Автор Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
    • FineGad
      Шифровальщик WantToCry
      Автор FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • lex-xel
      Сервер подвергся взлому
      Автор lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
×
×
  • Создать...