mrd2002

found the only suspicious .dll because it was modified in a suspicious date range VirusTotal

Unfortunately, I did not find anything similar on the disk either among the existing or among the erased files ...

VirusTotal

не-не. я имею ввиду, что зараженный диск я не трогал. отсоединил физически даже вроде перед переустановкой. ...хотя может и запамятовал...

торможу - это куда писать?

Runtime GetDataBack на втором сервере сейчас прогнал - он ничего не нашел. Но я здесь систему переустановил полностью на пустом диске, чтобы быстрее юзеров запустить работать, а диски с заразой не трогал (ну, может, касперского прогнал с drweb). А на сервере, где систему переустановил через обновление, rsaver до сих пор крутится

https://disk.yandex.ru/d/lmmHuAPQ-4t5aA я на всякий случай залил туда все файлы, о которых чем здесь говорилось. Чтобы secondary подключить, мне его тогда домой забирать надо - там один пятитерабайтник стоит

Путь к файлу был C:\Users\Public\robosta.exe. Так что, может и удастся что-то вытянуть... А если Runtime GetDataBack требует установки, то лучше им не пользоваться, по-моему, чтобы лишний раз не писать ничего на диск

по журналу событий я нашел, что все точки восстановления были удалены файлом robosta.exe, которого сейчас на дисках нет. я запустил анализ для восстановления удаленных файлов - может что-то и удастся...

Привет. Просто .md слишком большие... Не прикрепляется даже архив. (весит больше 8 Мб) Может прислать образцы всех файлов из списка? (список я опубликовал только, чтобы подтвердить предположение GT500)

I ran on a computer where I reinstalled windows as an update. I am sending the results: Addition.txt FRST.txt

Аnd the fact that I reinstalled windows will not affect?

How can I find a copy of the malicious program that encrypted my files? (drweb and kaspersky could not find anything on my computer ... )

For statistics: " Starting... File: D:\Базы\DB\1\3\10shutochki.jpg.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\10shutochki.jpg File: D:\Базы\DB\1\3\111.pdf.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\111.pdf File: D:\Базы\DB\1\3\CDList.xml.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\CDList.xml File: D:\Базы\DB\1\3\Indexes.bat.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\Indexes.bat File: D:\Базы\DB\1\3\license.lic.id=[88F54427].em

How can I find a copy of the malicious program that encrypted my files?