1c, взломали сервер и зашифровали файлы

3 октября, 2014

Здравствуйте, случилось так что взломали 1с и зашифровали все файлы. Концовка у файлов следующая -- .id-{BRCWKTSVSRUROEUKHXZIFOXGVEHQFORAPYBK-30.09.2014 22@22@439352370}-email-deskripshen1c@gmail.com-ver-4.0.0. помогите расшифровать файлы.
Прикрепил скрин а также логи программы AVZ4. Заранее спасибо! надеюсь на помощь

KL_syscure.zip

3 октября, 2014

Строгое предупреждение от модератора

Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощи по продуктам!

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

back_1c_daily.job

вот это задание отвечало за бекап баз?

так откатите их.

+ к логам

(желательно, не из-под терминальной сессии)

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

3 октября, 2014

Строгое предупреждение от модератора

Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощи по продуктам!

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

back_1c_daily.job

вот это задание отвечало за бекап баз?

так откатите их.

+ к логам

(желательно, не из-под терминальной сессии)

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

back_1c_daily.job

Не совсем понял как откатить если я не делал бекапы?

3 октября, 2014

За что отвечает задание back_1c_daily.job ?

3 октября, 2014

Проверил утилитой TDSSkiller. Лог во вложении

1с 7й версии и бекапа баз нету

TDSSKiller.3.0.0.40_03.10.2014_16.31.07_log.txt

3 октября, 2014

Делайте логи по правилам раздела.

3 октября, 2014

так я вроде все по инструкции делаю, никакой самодеятельности!

3 октября, 2014

@Dmitriy90, инструкция не та. Правильная тут: http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

6 октября, 2014

Сделал по инструкции

@Dmitriy90, инструкция не та. Правильная тут: http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

CollectionLog-2014.10.06-10.45.zip

6 октября, 2014

Скачайте SITLog и сохраните архив с утилитой на Рабочем столе

Распакуйте архив с утилитой в отдельную папку

Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"

По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt

Прикрепите эти отчеты в вашей теме.

Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

6 октября, 2014

Готово!

Скачайте SITLog и сохраните архив с утилитой на Рабочем столе

Распакуйте архив с утилитой в отдельную папку

Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"

По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt

Прикрепите эти отчеты в вашей теме.

Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

P4C800_2014-10-06_12-44-04.7z

SITLog.txt

SITLog_Info.txt

6 октября, 2014

Выполните скрипт в uVS:



;uVS v3.83 [http://dsrt.dyndns.org]



;Target OS: NTv5.2

v383c

breg

 

delall %SystemDrive%\DOCUMENTS AND SETTINGS\SHARED3\APPLICATION DATA\NTOS.EXE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\SHARED4\APPLICATION DATA\NTOS.EXE

delall %SystemDrive%\DOCUME~1\SERGEY~1\LOCALS~1\TEMP\000816~1.EXE

Сервер перезагрузите вручную. Сделайте новый лог uVS.

6 октября, 2014

Выполните скрипт в uVS:
;uVS v3.83 [http://dsrt.dyndns.org]

;Target OS: NTv5.2
v383c
breg
 
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SHARED3\APPLICATION DATA\NTOS.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SHARED4\APPLICATION DATA\NTOS.EXE
delall %SystemDrive%\DOCUME~1\SERGEY~1\LOCALS~1\TEMP\000816~1.EXE
Сервер перезагрузите вручную. Сделайте новый лог uVS.

Делаю все как Выполните скрипт в uVS: запускаю под текущим пользователем, нажимаю скрипт - выполнить скрипт находящийся в буфере обмена - открывается пустое окошко нажимаю выполнить и выскакивает ошибка Текст скрипта содержит ошибки, либо не содержит команд uVS выполнение таких скриптов запрещено!

P4C800_2014-10-06_13-57-15.7z

6 октября, 2014

Целиком скрипт скопировали?

6 октября, 2014

Целиком скрипт скопировали?

нет пропустил кое что. Все готово! прикрепил фаил лога

P4C800_2014-10-06_14-44-53.7z

1c, взломали сервер и зашифровали файлы

Рекомендуемые сообщения

Dmitriy90

Roman_Five

Dmitriy90

thyrex

Dmitriy90

mike 1

Dmitriy90

SLASH_id

Dmitriy90

mike 1

Dmitriy90

mike 1

Dmitriy90

mike 1

Dmitriy90

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum