Jump to content

mrd2002

Member
  • Content Count

    19
  • Joined

  • Last visited

Community Reputation

0 Neutral

About mrd2002

  • Rank
    Member
  1. found the only suspicious .dll because it was modified in a suspicious date range VirusTotal
  2. Unfortunately, I did not find anything similar on the disk either among the existing or among the erased files ...
  3. не-не. я имею ввиду, что зараженный диск я не трогал. отсоединил физически даже вроде перед переустановкой. ...хотя может и запамятовал...
  4. Runtime GetDataBack на втором сервере сейчас прогнал - он ничего не нашел. Но я здесь систему переустановил полностью на пустом диске, чтобы быстрее юзеров запустить работать, а диски с заразой не трогал (ну, может, касперского прогнал с drweb). А на сервере, где систему переустановил через обновление, rsaver до сих пор крутится
  5. https://disk.yandex.ru/d/lmmHuAPQ-4t5aA я на всякий случай залил туда все файлы, о которых чем здесь говорилось. Чтобы secondary подключить, мне его тогда домой забирать надо - там один пятитерабайтник стоит
  6. Путь к файлу был C:\Users\Public\robosta.exe. Так что, может и удастся что-то вытянуть... А если Runtime GetDataBack требует установки, то лучше им не пользоваться, по-моему, чтобы лишний раз не писать ничего на диск
  7. по журналу событий я нашел, что все точки восстановления были удалены файлом robosta.exe, которого сейчас на дисках нет. я запустил анализ для восстановления удаленных файлов - может что-то и удастся...
  8. Привет. Просто .md слишком большие... Не прикрепляется даже архив. (весит больше 8 Мб) Может прислать образцы всех файлов из списка? (список я опубликовал только, чтобы подтвердить предположение GT500)
  9. I ran on a computer where I reinstalled windows as an update. I am sending the results: Addition.txt FRST.txt
  10. Аnd the fact that I reinstalled windows will not affect?
  11. How can I find a copy of the malicious program that encrypted my files? (drweb and kaspersky could not find anything on my computer ... )
  12. For statistics: " Starting... File: D:\Базы\DB\1\3\10shutochki.jpg.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\10shutochki.jpg File: D:\Базы\DB\1\3\111.pdf.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\111.pdf File: D:\Базы\DB\1\3\CDList.xml.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\CDList.xml File: D:\Базы\DB\1\3\Indexes.bat.id=[88F54427].email=[[email protected]].ziggy Decrypted: D:\Базы\DB\1\3\Indexes.bat File: D:\Базы\DB\1\3\license.lic.id=[88F54427].em
  13. How can I find a copy of the malicious program that encrypted my files?
×
×
  • Create New...