Помогите пожалуйста расшифровать файлы. Лог программы прикрепил.
Помогите пожалуйста расшифровать файлы. Лог программы прикрепил.
Уважаемый(ая) lexter007, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Мы не можем гарантировать, что сможем помочь вам с расшифровкой.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта перезагрузите сервер вручную.Код:begin QuarantineFile('C:\Users\Администратор\AppData\Roaming\Local Security Authority Process.exe',''); QuarantineFile('C:\Users\КрыгинаН\AppData\Roaming\Tempo\DOC001.exe',''); BC_ImportQuarantineList; BC_Activate; end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Спасибо, что просто помогаете. Все сделал как просили. Прошу прощения, карантин не туда загрузил.
Последний раз редактировалось lexter007; 29.11.2018 в 07:26.
К сожалению с данным типом шифровальщика скорее всего не поможем с расшифровкой.
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:Start:: CreateRestorePoint: HKU\S-1-5-21-1031816772-1046381859-1296593770-500\...\Run: [smBqa] => C:\Users\Администратор\HOW TO RECOVER ENCRYPTED FILES.TXT [1948 2018-11-28] () Startup: C:\Users\КрыгинаН\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk [2018-11-26] ShortcutTarget: explorer.lnk -> C:\Users\Администратор\AppData\Roaming\Tempo\DOC001.exe (No File) 2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ШипиловаН\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ШипиловаН\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ШипиловаН\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ШипиловаН\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ФроловД\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ФроловД\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ФроловД\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:31 - 2018-11-28 01:31 - 000001948 _____ C:\Users\ФроловД\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\РахваловаО\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\РахваловаО\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\РахваловаО\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\РахваловаО\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ПолитовА\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ПолитовА\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ПолитовА\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ПолитовА\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\НасоховаЕ\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\НасоховаЕ\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\НасоховаЕ\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\НасоховаЕ\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЛарионовР\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЛарионовР\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЛарионовР\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЛарионовР\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КрыгинаН\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КрыгинаН\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КрыгинаН\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КрыгинаН\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КоротенковаЕ\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КоротенковаЕ\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КоротенковаЕ\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\КоротенковаЕ\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЗыряновИ\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЗыряновИ\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЗыряновИ\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЗыряновИ\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЕсенжаровА\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЕсенжаровА\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЕсенжаровА\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ЕсенжаровА\Desktop\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\SQLSERVERAGENT\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\ReportServer\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\Public\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\Public\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\Public\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\MSSQLServerOLAPService\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\MSSQLSERVER\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\MSSQLFDLauncher\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\MsDtsServer110\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:30 - 2018-11-28 01:30 - 000001948 _____ C:\Users\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:24 - 2018-11-28 01:24 - 000001948 _____ C:\Program Files (x86)\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:18 - 2018-11-28 01:18 - 000001948 _____ C:\Program Files\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:08 - 2018-11-28 08:35 - 000001948 _____ C:\Users\Администратор\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:08 - 2018-11-28 01:08 - 000001948 _____ C:\Users\Администратор\Downloads\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:08 - 2018-11-28 01:08 - 000001948 _____ C:\Users\Администратор\Documents\HOW TO RECOVER ENCRYPTED FILES.TXT Zip: C:\Users\КрыгинаН\AppData\Roaming\temp.bat;C:\Users\КрыгинаН\AppData\Roaming\offline.txt 2018-11-26 10:43 - 2018-11-26 13:31 - 000000026 _____ C:\Users\КрыгинаН\AppData\Roaming\temp.bat Folder: C:\Users\КрыгинаН\AppData\Roaming\Tempo 2018-11-26 10:40 - 2017-06-04 20:01 - 000000000 __RSH C:\Users\КрыгинаН\AppData\Roaming\cppredistx86.exe Folder: C:\Users\КрыгинаН\AppData\Roaming\NsMiner Folder: C:\Users\Администратор\WINDOWS 2018-11-28 01:18 - 2018-11-28 01:18 - 000001948 _____ () C:\Program Files\HOW TO RECOVER ENCRYPTED FILES.TXT 2018-11-28 01:24 - 2018-11-28 01:24 - 000001948 _____ () C:\Program Files (x86)\HOW TO RECOVER ENCRYPTED FILES.TXT File: C:\Users\Администратор\AppData\Roaming\Local Security Authority Process.exe End::- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что сервер возможно будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Почему то не могу загрузить в карантин, пишет, файл уже загружен. Вот прикрепил в теме.
Согласно логу fixlog.txt вы сохранили скрипт фикса без поддержки unicode (юникод), так как русские символы (кириллица) представленны ввиде иероглифов.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Ой, ошибочка. Вот в Юникоде
Последний раз редактировалось SQ; 29.11.2018 в 18:42.
Этот батник Вам известен?
Тут похоже на майниг, что из этого Вам знакомо?Код:C:\Users\КрыгинаН\AppData\Roaming\temp.bat
- - - - -Добавлено - - - - -Код:2018-10-17 18:17 - 2018-10-17 18:17 - 001522176 ____A [30843CDD1E1EB312D1CCE94C3C826C88] (www.xmrig.com) C:\Users\КрыгинаН\AppData\Roaming\Tempo\NsCpuCNMiner32.exe 2018-10-17 18:24 - 2018-10-17 18:24 - 001075200 ____A [2F4E3381E0CD64B0330D509D6916B940] (www.xmrig.com) C:\Users\КрыгинаН\AppData\Roaming\Tempo\NsCpuCNMiner64.exe 2018-11-26 08:37 - 2016-10-10 14:11 - 000585883 ____A [43E42D7948C5DC237869786CCB39720A] () C:\Users\КрыгинаН\AppData\Roaming\NsMiner\IMG001.exe 2018-11-26 10:40 - 2018-11-26 10:40 - 000045593 ____A [EBAFD0A5EF13AE119234B11109D3E0B5] () C:\Users\КрыгинаН\AppData\Roaming\NsMiner\IMG004.exe
Если Вам ничего из этого (майнинга) не известно, то выполните следующее:
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:Start:: CreateRestorePoint: Zip: C:\Users\КрыгинаН\AppData\Roaming\NsMiner;C:\Users\КрыгинаН\AppData\Roaming\Tempo C:\Users\КрыгинаН\AppData\Roaming\NsMiner C:\Users\КрыгинаН\AppData\Roaming\Tempo End::- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Про майнинг вообще ничего не известно, то есть на сервере не было майнинга.
Архив загрузил по ссылке, во вложения не влез.
Вот детекты Virustotal:
https://www.virustotal.com/#/file/75...cced/detection
https://www.virustotal.com/#/file/b8...25e1/detection
https://www.virustotal.com/#/file/be...540f/detection
https://www.virustotal.com/#/file/6e...2327/detection
В логах больше ничего плохого не найдено, к сожалению с расшифровкой не поможем. Если есть лицензии к антивирусным продуктам пробуйте обратиться к вендорам за помощью. Если есть лицензия на продукта Kaspersky Lab пробуйте к ним тоже обратиться.
P.S. Не удаляйте каратин C:\FRST пока не решите вопрос с расшифровкой.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 4
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- \nsminer\img001.exe - Trojan-Downloader.VBS.Agent.ber ( B=
itDefender: Application.BitCoinMiner.IG, AVAST4: Win32:Malware-gen )- \nsminer\img004.exe - UDS:Trojan-Downloader.Win32.Generic=
( AVAST4: Win32:Malware-gen )- \tempo\nscpucnminer32.exe - not-a-virus:HEUR:RiskTool.Win32.B=
itCoinMiner.gen ( AVAST4: Win32:CryptoMiner-L [Trj] )- \tempo\nscpucnminer64.exe - not-a-virus:HEUR:RiskTool.Win32.B=
itCoinMiner.gen ( AVAST4: Win32:CryptoMiner-L [Trj] )
Уважаемый(ая) lexter007, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.