1c, взломали сервер и зашифровали файлы

[Dmitriy90]

Здравствуйте, случилось так что взломали 1с и зашифровали все файлы. Концовка у файлов следующая -- .id-{BRCWKTSVSRUROEUKHXZIFOXGVEHQFORAPYBK-30.09.2014 22@22@439352370}-email-deskripshen1c@gmail.com-ver-4.0.0. помогите расшифровать файлы.
Прикрепил скрин а также логи программы AVZ4. Заранее спасибо! надеюсь на помощь

KL_syscure.zip

[Roman_Five]

Строгое предупреждение от модератора

Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощи по продуктам!

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

back_1c_daily.job

вот это задание отвечало за бекап баз?

так откатите их.

 

 

+ к логам

(желательно, не из-под терминальной сессии)

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

[Dmitriy90]

 

Строгое предупреждение от модератора

Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощи по продуктам!

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме Порядок оформления запроса о помощи

back_1c_daily.job

вот это задание отвечало за бекап баз?

так откатите их.

 

 

+ к логам

(желательно, не из-под терминальной сессии)

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

 

back_1c_daily.job

Не совсем понял как откатить если я не делал бекапы?

[thyrex]

За что отвечает задание back_1c_daily.job ?

[Dmitriy90]

Проверил утилитой TDSSkiller. Лог во вложении

1с 7й версии и бекапа баз нету

TDSSKiller.3.0.0.40_03.10.2014_16.31.07_log.txt

[mike 1]

Делайте логи по правилам раздела. 

[Dmitriy90]

так я вроде все по инструкции делаю,  никакой самодеятельности!

[SLASH_id]

@Dmitriy90, инструкция не та. Правильная тут: http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] 

[Dmitriy90]

Сделал по инструкции

@Dmitriy90, инструкция не та. Правильная тут: http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] 

 

CollectionLog-2014.10.06-10.45.zip

[mike 1]

• Скачайте SITLog и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите sitlog.exe

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"

• По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt

• Прикрепите эти отчеты в вашей теме.

 

 

• Скачайте Universal Virus Sniffer (uVS)

• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

 

[Dmitriy90]

Готово!

 

• Скачайте SITLog и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите sitlog.exe

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"

• По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt

• Прикрепите эти отчеты в вашей теме.

 

 

• Скачайте Universal Virus Sniffer (uVS)

• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

 

 

P4C800_2014-10-06_12-44-04.7z

SITLog.txt

SITLog_Info.txt

[mike 1]

Выполните скрипт в uVS:

 

;uVS v3.83 [http://dsrt.dyndns.org]



;Target OS: NTv5.2

v383c

breg

 

delall %SystemDrive%\DOCUMENTS AND SETTINGS\SHARED3\APPLICATION DATA\NTOS.EXE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\SHARED4\APPLICATION DATA\NTOS.EXE

delall %SystemDrive%\DOCUME~1\SERGEY~1\LOCALS~1\TEMP\000816~1.EXE

 

Сервер перезагрузите вручную. Сделайте новый лог uVS.

[Dmitriy90]

 

Выполните скрипт в uVS:

 

;uVS v3.83 [http://dsrt.dyndns.org]

;Target OS: NTv5.2
v383c
breg
 
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SHARED3\APPLICATION DATA\NTOS.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SHARED4\APPLICATION DATA\NTOS.EXE
delall %SystemDrive%\DOCUME~1\SERGEY~1\LOCALS~1\TEMP\000816~1.EXE

 

Сервер перезагрузите вручную. Сделайте новый лог uVS.

 

Делаю все как Выполните скрипт в uVS: запускаю под текущим пользователем, нажимаю скрипт - выполнить скрипт находящийся в буфере обмена - открывается пустое окошко нажимаю выполнить и выскакивает ошибка Текст скрипта содержит ошибки, либо не содержит команд uVS выполнение таких скриптов запрещено! 

P4C800_2014-10-06_13-57-15.7z

[mike 1]

Целиком скрипт скопировали?

[Dmitriy90]

Целиком скрипт скопировали?

нет пропустил кое что. Все готово! прикрепил фаил лога

P4C800_2014-10-06_14-44-53.7z