Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Не воити в 1С причина - better_call_sau

svetonosets
 Поделиться

Рекомендуемые сообщения

svetonosets Новичок

svetonosets

Опубликовано
Опубликовано

Прошу дать пошаговую инструкцию (для чайников).  В 1 С не войти, шифровщик все зашифровал, в том числе архив базы и пишет, что ее нет, но она есть. Шифровщик создал с десяток файлов с расширением .better_call_sau.

Ссылка на комментарий
Поделиться на другие сайты
svetonosets Новичок

svetonosets

Опубликовано
  • Автор
Опубликовано

Спасибо за ответ, но мне не нужен типовой ответ, мне нужна помощь грамотного консультанта, поскольку на кону стоит база отчетности. Мне нужно точечно сделать такие операции, в результате которых моя баз отчетности останется целой, и доп антивирусные программы не удалят мою базу как вирус. Фирштейн?

Ссылка на комментарий
Поделиться на другие сайты
svetonosets Новичок

svetonosets

Опубликовано
  • Автор
Опубликовано

Хотите чтобы вам попытались помочь делайте логи. Я не телепат. 

Вот логи.

Подскажите, что делать дальше?

CollectionLog-2016.04.06-16.55.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

 QuarantineFile('C:\Users\Ирина\appdata\roaming\svchost.exe','');

 DeleteFile('C:\Users\Ирина\appdata\roaming\svchost.exe','32');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты
svetonosets Новичок

svetonosets

Опубликовано
  • Автор
Опубликовано

1 С по прежнему не загружается, все сделал как написано логи во вложенном. Что дальше?


Можно попробовать TeamViewer если проблема не решится

CollectionLog-2016.04.06-19.00.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
svetonosets Новичок

svetonosets

Опубликовано
  • Автор
Опубликовано

Отсканировал, файлы направляю


Программа 1С так и не открывается. Вирусные файлы не изменились. Жду инструкций.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  •  



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

GroupPolicyUsers\S-1-5-21-4107374490-978894372-3774117712-1004\User: Restriction <======= ATTENTION

GroupPolicyScripts: Restriction <======= ATTENTION

CHR HKU\S-1-5-21-4107374490-978894372-3774117712-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

Toolbar: HKU\S-1-5-21-4107374490-978894372-3774117712-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File

Toolbar: HKU\S-1-5-21-4107374490-978894372-3774117712-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

CHR Extension: (Переводчик для Chrome 2) - C:\Users\Ирина\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlbjncdgjeocebhnmkbbbdekmmmcbfjd [2014-08-31]

CHR Extension: (Скачивание музыки с ВК) - C:\Users\Ирина\AppData\Local\Google\Chrome\User Data\Default\Extensions\bjjlbcacffbohhnhgmkdebadjbncnhag [2014-08-31]

OPR Extension: (Скачивание музыки с ВК) - C:\Users\Ирина\AppData\Roaming\Opera Software\Opera Stable\Extensions\bjjlbcacffbohhnhgmkdebadjbncnhag [2014-08-31]

OPR Extension: (Переводчик для Chrome 2) - C:\Users\Ирина\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlbjncdgjeocebhnmkbbbdekmmmcbfjd [2014-08-31]

NETSVCx32: KBDMAI -> C:\Windows\SysWOW64\KBDMAI.dll ==> No File

NETSVCx32: ir16_32 -> no filepath.

NETSVCx32: d3dadapter -> no filepath.

NETSVCx32: wlanmgr -> no filepath.

S2 kbdmai; %SystemRoot%\System32\KBDMAI.dll [X]

2016-03-23 13:30 - 2016-03-25 00:03 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-03-23 13:30 - 2016-03-25 00:03 - 00000000 __SHD C:\ProgramData\Windows

Task: {3390C258-4347-406A-921E-D25C6BA322F4} - \{9F092CD8-B6BB-4282-8BF1-E6E776F60993} -> No File <==== ATTENTION

Task: {B7C97BC3-5C69-45BC-910E-5984ED1421C1} - \{431C36EA-1C61-4231-9592-6E6E4289975F} -> No File <==== ATTENTION

Task: {EC04F99C-3726-44BD-B5F8-2F14A4FE5469} - \{7AE07255-4D65-4449-8859-3678038FC99A} -> No File <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Andrei93
      Как исправить причину блокировки выполнения скрипта ?
      Автор Andrei93
      Здравствуйте.
       
      Я выполняю powershell скрипт с помощью планировщика задач от системы
       
      1. Скрипт подписан сертификатом.
      2. Скрипт выполняет установку msi плагина для Outlook.
       
      KSC считает, что это троян.
       
      - По какой причине ?
      - Как правильно разрешить мою проблему ?
       
      Kasperskiy Endpoint Security: 12.3.0.493
       
       
       


    • KL FC Bot
      Ландшафт ransomware в 2025 году и новые причины не платить
      Автор KL FC Bot
      12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.
      Низкое качество расшифровщиков
      Когда инфраструктура компании зашифрована в результате атаки, бизнес в первую очередь хочет вернуться к нормальной деятельности, как можно быстрее восстановив данные на рабочих станциях и серверах. Из записок вымогателей может сложиться впечатление, что после оплаты компания получит приложение, которое быстро вернет всю информацию на свои места и можно будет практически безболезненно продолжить работу. На практике этого почти никогда не случается.
      Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей Black Basta.
      Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.
      В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.
       
      View the full article
    • Sandynist
      Имя объекта: rap.skcrtxr.com Причина: Этот сертификат или один из сертификатов в цепочке устарел.
      Автор Sandynist
      Добрый день! 
       
      Каждый раз при открытии Алика (https://aliexpress.ru/) такая вот картинка.
       
      Событие: Обнаружено SSL-соединение c недействительным сертификатом Тип пользователя: Не определено Имя приложения: opera.exe Путь к приложению: C:\Users\Home7\AppData\Local\Programs\Opera Компонент: Интернет-защита Описание результата: Запрещено Имя объекта: rap.skcrtxr.com Причина: Этот сертификат или один из сертификатов в цепочке устарел.  И непонятно — это что? И что с этим всем делать?

    • KL FC Bot
      CVE-2024-6387 aka regreSSHion — причины, риски, устранение
      Автор KL FC Bot
      В OpenSSH, популярном наборе инструментов для дистанционного управления *nix-системами, была найдена уязвимость, при помощи которой неаутентифицированный злоумышленник может выполнить произвольный код и получить root-привилегии. Уязвимость получила номер CVE-2024-6387 и собственное имя regreSSHion. Учитывая, что sshd, сервер OpenSSH, внедрен в большинство популярных ОС, многие устройства интернета вещей и другие девайсы вроде межсетевых экранов, описание уязвимости звучит как начало новой эпидемии уровня WannaCry и Log4Shell. На практике ситуация несколько сложнее, и массовой эксплуатации уязвимости, вероятно, не будет. Несмотря на это, все администраторы серверов с OpenSSH должны срочно позаботиться об устранении уязвимости.
      Где применяется OpenSSH
      Набор утилит OpenSSH встречается почти повсеместно. Это популярная реализация протокола SSH (secure shell), внедренная в подавляющее большинство дистрибутивов Linux, OpenBSD и FreeBSD, macOS, а также в специализированные устройства, например на базе Junos OS. Поскольку многие телевизоры, «умные» дверные глазки и видеоняни, сетевые медиаплееры и даже роботы-пылесосы работают на базе Linux-систем, в них тоже часто применяется OpenSSH. Начиная с Windows 10, OpenSSH есть и в ОС от Microsoft, правда, здесь это опциональный компонент, не устанавливаемый по умолчанию. Не будет преувеличением сказать, что sshd работает на десятках миллионов устройств.
       
      Посмотреть статью полностью
    • A.Нанасов
      "Задача остановлена" - как понять причину?
      Автор A.Нанасов
      Здравствуйте, помогите, пожалуйста, разобраться в периодических остановках Kaspersky Free: на Windows 11 иногда вылезает уведомление, что защита приостановлена, через 3 секунды - возобновлена.
      В отчётах касперского не вижу причины, только события "Задача остановлена", "Задача запущена"
      Что может вызывать такое поведение? Где в системе можно увидеть причину?
      Заранее благодарю за ответы.
×
×
  • Создать...