Перейти к содержанию

Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.


Рекомендуемые сообщения

Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.

 

Я не смог запуститьна том компе ничего, вставленная флешка была моментально заражена.  И вот заражённые файлы я вложил сюда во вложении

 

 

 

 

FRST64.exe.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar key.txt.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar

Ссылка на сообщение
Поделиться на другие сайты

Если нужна помощь в очистке системы от мусора и следов вымогателя, добавьте лог Addition.txt и соберите CollectionLog Автологером по этой инструкции.

 

Ссылка на сообщение
Поделиться на другие сайты

Пытаюсь по инструкции запустить 

Ни тот ни другой не запускается.....  Как быть?  Продолжить по инструкции без запуска их?

(скрин во вложении)

Screenshot_3.jpg

Screenshot_2.jpg

Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, Neo05 сказал:

Продолжить по инструкции без запуска их?

Да, интересует только архив CollectionLog от Автологера.

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Fast.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Удалите старые и соберите новые отчёты FRST.txt и Addition.txt

 

Ссылка на сообщение
Поделиться на другие сайты
Цитата

Загруженные профили: False <==== ВНИМАНИЕ (Временный профиль?)


Нормально войти в систему не получается?

Цитата

Drive C () (Fixed) (Total:49.9 GB) (Free:3.09 GB)

Очень мало места на системном диске.

 

Моё мнение - лучше всего систему переустановить, предварительно скопировав нужные данные на внешний носитель.

Пять учётных записей с правами администратора - много. Учтите на будущее.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Sandor сказал:

Нормально войти в систему не получается?

Нет, не получается.  Как то странно входит и частенько как будто впервые после установки в профиль входишь - в левом верхнем углу возникает окошко временное - создание профиля и т.п.   надписи.

 

 

3 часа назад, Sandor сказал:

Моё мнение - лучше всего систему переустановить, предварительно скопировав нужные данные на внешний носитель.

 

Боюсь потерять данные базы 1С.   

Больше ничего нельзя сделать?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • yarkroft
      От yarkroft
      Добрый день, на рабочий бухгалтерский компьютер попал вирус и зашифровал много информации. Система и некоторые приложения по типу браузера не зашифрованы и работают.
    • Tetradb
      От Tetradb
      Здравствуйте.
      Зашифровались все файлы, прошу помощи по расшифровке файлов если есть возможно.
      29.11.2022.rar
    • newlogi
      От newlogi
      Доброго дня в продолжении предыдущей темы прошу помощи в расшифровке и лечении.
       
      Зашифрованы файлы документов, графические, ярлыки.
      Соответственно не запускаются некоторые программы, в т.ч. Проводник (по исконке "папка"), браузеры, антивирус, почтовый клиент.
      Ярлык "Компьютер" пока работает. Панель управления открывается.
       
      Лог  Farbar Recovery Scan Tool собрать не могу. После установки флешки в USB файл на флешке мгновенно шифруется в FRST.exe.id[4818938E-3372].[azidadabass@proton.me].Elbie
      Сориентируйте пожалуйста по альтернативному сбору логов.
      Спасибо.
    • Fx2000
      От Fx2000
      поймал шифровальщика шифровал все файлы в приложении несколько зашифрованных файлов обращения вымогателей лог файл.CollectionLog-2022.11.23-23.39.zip
      DECRYPTION.txt файл.7z
    • itcenter
      От itcenter
      Зашифровались данные в ночь с 20.11.2022 на 21.11.2022.
      Требования злоумышленника найти не удалось.
      Файлы типа 1Cv8.1CD.id[присвоенный ID].[decrypt@techie.com].MNX
      Telegram.exe.id[9A339C28-3426].[decrypt@techie.com].MNX
      Документация.doc.id[9A339C28-3426].[decrypt@techie.com].MNX
      Addition.txt FRST.txt virus.rar
×
×
  • Создать...