Перейти к содержанию

Файлы, помещенные в архив с паролем


Рекомендуемые сообщения

Здравствуйте! Такая ситуация: на ПК проникла зараза, помещающая файлы в архив. На архив ставится пароль. При этом запароленный архив остается на ПК. Прошу помощи в расшифровке. На ПК был установлен AnyDesk, однако пароль для доступа через него был достаточно надежным, содержал символы разных регистров, цифры и специмволы. Интуитивно грешу на то, что архив с паролем был создан человеком вручную, а не какой либо вредоносной программой, возможно доступ через AnyDesk был кем то перехвачен. Согласно правилам форума прикладываю отчеты, составленные программой Farbar Recovery Scan Tool, образцы возможной найденной заразы (найдены при помощи Dr.Web CureIT) и файл с требованиями. Сам запароленый архив (объем более 5 Гб) доступен на яндекс.диске по ссылке: https://disk.yandex.ru/d/vnfKTFssSfa6_Q

Addition.txt FRST.txt Образцы и файл с требованиями.rar

Ссылка на сообщение
Поделиться на другие сайты

С разархивированием помочь не сможем. Будет только зачистка мусора..

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать?

Start::
CreateRestorePoint:
HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> Exploit Blocker Database for x86
HKLM\Software\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> Exploit Blocker Database for x64
HKLM\Software\...\AppCompatFlags\InstalledSDB\{d847be8d-f997-4860-a27c-22085498a593}: [DatabasePath] -> C:\Windows\AppPatch\Custom\Custom64\{d847be8d-f997-4860-a27c-22085498a593}.sdb [2021-07-27]
HKLM\Software\...\AppCompatFlags\InstalledSDB\{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}: [DatabasePath] -> C:\Windows\AppPatch\Custom\{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb [2021-07-27]
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\acrord32.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\acrord32.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\brosec.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\brosec.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\browser.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\browser.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\cscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\cscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\excel.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\excel.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\firefox.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\firefox.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\foxitreader.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\foxitreader.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\iexplore.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\iexplore.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\infopath.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\infopath.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\java-rmi.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\java-rmi.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\javacpl.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\javacpl.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jjs.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jjs.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jp2launcher.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jp2launcher.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jusched.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\jusched.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\lync.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\lync.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\msaccess.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\msaccess.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mshta.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mshta.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mspub.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\mspub.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenoteim.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenoteim.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenotem.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\onenotem.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\opera.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\opera.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\outlook.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\outlook.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\plugin-container.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\plugin-container.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powerpnt.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powerpnt.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powershell.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\powershell.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\RdrCEF.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\RdrCEF.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skype.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skype.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skypepm.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\skypepm.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\sway.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\sway.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\winword.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\winword.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\wscript.exe: [{f0d5de6d-873e-45a5-a4b1-7741cc0fa7c5}.sdb] -> 
HKLM\Software\Wow6432Node\...\AppCompatFlags\Custom\wscript.exe: [{d847be8d-f997-4860-a27c-22085498a593}.sdb] -> 
IFEO\magnify.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-03-02] () [Файл не подписан] [Файл уже используется]
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe [2020-10-14] () [Файл не подписан]
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-03-02] () [Файл не подписан]
Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-03-02] () [Файл не подписан]
Startup: C:\Users\CBSSRV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe [2019-03-02] () [Файл не подписан]
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VID001.exe
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
C:\Users\CBSSRV\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ivan1996
      От Ivan1996
      прошу так же помощи по шифровальщику, только у меня даже о выкупе файла нет нигде...((
      card.csv.[ID-5465DF21].[hyperme@tuta.io].zip
       
       
      Сообщение от модератора kmscom Сообщение перенесено из темы https://forum.kasperskyclub.ru/topic/88531-shifrovalshhik-hypermetutaiohelpme/  
    • Kotyara884
      От Kotyara884
      Здравствуйте, уважаемый форумчане.
       
      Словили на сервер шифровальщик .[ID-1CF273F0].[hyperme@tuta.io].HELPME
       
      Шифрованный файл прилагаю и инфо к нему тоже, я так понимаю расшифровывать бесполезно?
      decrypt_info.txt bnk.zip
    • localhost
      От localhost
      Добрый день, словили шифровальщик, в итоге все файлы зашифрованы. Подскажите, пожалуйста, возможна ли расшифровка? Если нет - то какие действия от меня требуются для очистки системы от последствий? Заранее благодарен. 
      Ниже прикладываю требуемые файлы (логи FRST, два зашифрованных файла).
      FRST.txt Касса.xlsx[paybackformistake@qq.com].zip надпись реализация.odt[paybackformistake@qq.com].zip Addition.txt
    • login1231
      От login1231
      Здравствуйте.
      1. Будет ли антивирус "Kaspersky Security для Windows Server 10.1.2" обнаруживать шифровальщиков, если отключить компонент "Защита от шифрования" и при этом компонент "Файловый антивирус" или "Постоянная защита файлов" будет включен?
      2. Что значит "HEUR:" в начале наименований угроз? Как расшифровывается?
    • Oleg P
      От Oleg P
      Коллеги.ю добрый день.
      Зашифрован сервер с ОС Windows Server 2016 - предположительно, через уязвимость в протоколе RDP. Прилагаются следующие файлы:
      - Примеры зашифрованных файлов (3 шт.)
      - Открытый ключ шифрования (исходное расширение - key)
      - Баннер, оставленный злоумышленниками
      - Письмо, полученное от злоумышленников в ответ на письмо, отправленное нами (со всеми метаданными)
      Система не загружается ни в каком режиме, т.к. системные файлы, предположительно, также зашифрованы.
      Исходное расширение зашифрованных файлов - wixawm
      Ждем дальнейших инструкций.
      Заранее спасибо за помощь.
      Thumbs.db,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt Выигранные тендеры.xlsx,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt Обеспечение контракта - деньги.docx,(MJ-AP9840316572)(helpcenter2008@gmail.com).txt RSAKEY-MJ-IZ0643158279.txt Decryption-Guide.txt Fwd Your Case ID MJ-OS3547089612 - free-daemon@yandex.ru - 2021-12-13 1414.txt
×
×
  • Создать...