Перейти к содержанию

Вирус зашифровал файлы


Рекомендуемые сообщения

 

 

 

Вот он где лежит, как его оттуда вытащить?

Смотрите карантин антивируса.  

 

зашел в журнал - сделал восстановить - зашел в папку где он лежит, попытался заархивировать - отказано в доступе - снова удалил каспером. Как мне его вытащить и в каком виде вам отправить?

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 56
  • Created
  • Последний ответ

Top Posters In This Topic

  • chaba

    27

  • mike 1

    20

  • thyrex

    5

  • Roman_Five

    4

Top Posters In This Topic

Popular Posts

нужно карантин смотреть не через проводник, а в антивирусе.

Здравствуйте!  Что удалялось?     Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.   Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника

пробовали использовать?   http://support.kaspersky.ru/viruses/disinfection/2911

Posted Images

@chaba,

перед тем, как восстанавливать из карантина - отключите защиту в антивирусе.
после восстановления заархивируйте с паролем virus и включите защиту антивируса обратно.

 

архив с шифратором пришлите mike 1 

Ссылка на сообщение
Поделиться на другие сайты

Тоже не являются шифраторами. Файл 1.exe - xorist, но добавляет такое jhvbfjhb расширение к файлам.

 

Сделайте свежий лог uVS

Ссылка на сообщение
Поделиться на другие сайты

Тоже не являются шифраторами. Файл 1.exe - xorist, но добавляет такое jhvbfjhb расширение к файлам.

 

Сделайте свежий лог uVS

Может 1 ехе тоже прислать?

WIN-1WPTHCMPJYT_2014-10-18_11-58-29.7z

Ссылка на сообщение
Поделиться на другие сайты
 
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v3.83 [http://dsrt.dyndns.org]
;Target OS: NTv6.0
v383c
breg

delall %SystemDrive%\USERS\USER3\WINDOWS\SYSTEM\1\1CV8.EXE
delall %SystemDrive%\USERS\USER3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PRIMECOIN.LNK
zoo %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL\WASPACE_3.11.6.0_FULL\WASPPACER.EXE
delall %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL\WASPACE_3.11.6.0_FULL\WASPPACER.EXE
dirzooex G:\WINDOWS\IN
delall G:\WINDOWS\IN\WINLОGОN.EXE
delall %SystemDrive%\USERS\USER1\DOWNLOADS\W\WMA.EXE
delall %SystemDrive%\USERS\USER1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WMA AUTORUN.LNK
zoo %SystemDrive%\USERS\USER4\SAVED GAMES\NTPASSWORDER.EXE
delall %SystemDrive%\USERS\USER4\SAVED GAMES\NTPASSWORDER.EXE
delall %SystemDrive%\USERS\KASSA\SAVED GAMES\NTPASSWORDER.EXE
zoo %SystemDrive%\USERS\USER7\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\4OE35LSD\32165[1].EXE
delall %SystemDrive%\USERS\USER7\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\4OE35LSD\32165[1].EXE
deldir %SystemDrive%\1ARHIV\WASPACE_3.11.2.6_FULL
czoo
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
  • После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл через данную форму

 

Сделайте новый лог uVS.

Ссылка на сообщение
Поделиться на другие сайты

@chaba, Вы всегда разговариваете сами с собой, не обращая внимания на выданные рекомендации? Прекратите загаживать тему флудосообщениями. Третья страница заканчивается, а пользы от Вас минимум.

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве
Ссылка на сообщение
Поделиться на другие сайты

В MBAM удалите все, кроме:

Обнаруженные файлы:
C:\Users\User1\Downloads\Ccleaner.exe (PUP.Optional.FirseriaInstaller) -> Действие не было предпринято.
C:\Users\User1\Downloads\wrar510ru_inst2.exe (PUP.Optional.InstallCore) -> Действие не было предпринято.
C:\Users\User6\Desktop\newset_hscan.zip (PUP.HackTool.Hscan) -> Действие не было предпринято.
C:\Users\User6\Desktop\newset_hscan\hscan\tools\NTCmd.exe (PUP.HackTool.Hscan) -> Действие не было предпринято.
C:\Users\User7\Downloads\WeLoveFilms_TSA14LSK6.exe (PUP.Optional.ClientConnect) -> Действие не было предпринято.
C:\Users\Администратор\Desktop\Daemon Tools Lite v4.44.54\DTLite4454-0315.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • MotherBoard
      От MotherBoard
      Программа позволяет разрабатывать, тестировать и отлаживать приложения прямо в веб-браузере без дополнительной установки ПО с помощью технологии 1С:Предприятие.Элемент. Это существенно упрощает взаимодействие с кодом приложения.
      На данном языке уже реализованы:
       - 1С: Шина
       - 1С: Кабинет Сотрудника
       - 1С: Персонал
      Сейчас можно бесплатно зарегистрироваться и пробовать  силы на новой технологии. Для регистрации нажмите сюда
      Источник
       
    • denis12345
      От denis12345
      Help me! сегодня взломали и подсадили шифровальщика BlackBit, файлы особо не важны, но срочно нужно восстановление базы 1С, вся работа предприятия парализована. Может кто-то уже сталкивался и расшифровывал, подскажите методы или ? Заранее спасибо!
    • Владимир Митин
      От Владимир Митин
      Добрый день.
      Компьютеры находятся в одном домене.
      Файлы на серверах зашифрованы на общих ресурсах - расшаренных папках.
      Бэкапы были на диске D.
       
      Файлы зашифрованы у пользователей на рабочих столах.
      Файлы на серверах - диск C, диск D и т.д.
       
      Файлы с FRST прикладываю.
      Зашифрованные файлы прикладываю.
      Тело вируса не обнаружено. Файла с запросом выкупа нет.
       
      FRST.txt Addition.txt Зашифрованные файлы.zip
    • Neo05
      От Neo05
      Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.
       
      Я не смог запуститьна том компе ничего, вставленная флешка была моментально заражена.  И вот заражённые файлы я вложил сюда во вложении
       
       
       
       
      FRST64.exe.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar key.txt.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar
    • baikal
      От baikal
      Добрый день,
      В январе после праздников одна из сотрудниц предприятия попросила открыть доступ к серверу, через сетевое окружение, на сервере был расшарен корневой каталог файловой базы 1С с возможностью изменения. Раньше она заходила через RDP. На самом сервере ни каких следов нет, кроме зашифрованных файлов корневого каталога 1С (кроме файлов 1С там находились документы Word, Excell для обмена). Все подозрения на ПК той самой сотрудницы, которой был открыт доступ через сетевое окружение. Её ПК после сканирования антивирусом Касперского подтвердил завирусованость ОС. Логи антивируса приложил в архив. Логи Farbar Recovery Scan Tool так же приложил.
      Вымогатель требование о выкупе не сообщил, только в названиях файла есть суффикс электронной почты ivakinjiin@dnmx.org расширение зашифрованного файла *.eitieTh1 при открытии зашифрованного файла winhex можно увидеть только нули, хоть объем файла соответствует не зашифрованному файлу. Возможно вымогатель зашифровал таким образом, что нельзя расшифровать любым способом.
      Если моя версия верна в плане того, что каталог с базой 1С был зашифрован через сетевое окружение, тогда как можно зашифровать файл 1С когда он занят самой программой (обычно бухгалтера не закрывают приложения). Логи сервера Безопасность были затерты от того числа, когда было произведено шифрование, по умолчанию в настройках установлено "Переписывать события при необходимости". На самом сервере нет антивируса. Вымогатель в основном шифровал папки 1С, остальное не трогал, его интересовало только 1С.
       
      да поможет, нам "бог сети"
      eitieTh1_18012022.rar

×
×
  • Создать...