Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый День. Был заражен компьютер с базой 1С. В каждой папке был создан документ со следующим содержимым:

Внимание! Все файлы на пк зашифрованы!
Для расшифровки файлов, Вам необходимо написать на email: dosfile@ya.ru
 
Стоимость расшифровки 6500 руб., спешите, скоро цена будет больше!:
Во сложении файл с логами. Пострадал только файл с базой 1С ни чем не открывается ни программой проверки базы ни просмотрщиком 1CD файлов.

CollectionLog-2016.10.27-15.39.zip

  • Ответов 39
  • Создана
  • Последний ответ

Топ авторов темы

  • Ivan  Kezin

    21

  • Sandor

    15

  • mike 1

    3

  • thyrex

    1

Топ авторов темы

Опубликовано
Check Browsers' LNK  by Alex Dragokas & regist                                 ver. 2.1.0.7 ( Beta )

 

OS:       x64 Windows Server 2012 R2 (Server Standard), 6.3.9600, Service Pack: 0 (SM=Terminal, PT=Server)

Time:     28.10.2016 - 14:40

Language: OS: Russian (0x419). Display: Russian (0x419). Non-Unicode: Russian (0x419). Codepage: OEM - c_866.nls (not exist!), ANSI - c_1251.nls (not exist!)

Elevated: No

User:     user6 (group: Limited User) on SHOPSERV

 

 

* Подозрительные объекты будут отмечены префиксом >>>

 

[=========================================================================]

                ((((((       Прочие ярлыки       ))))))

===========================================================================

 

[_________________________  Цель не существует  __________________________]

 

>>>  "C:\Users\user6\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"           -> ["C:\Windows\system32\mblctr.exe"]

>>>  "C:\Users\user6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk"    -> ["C:\Windows\system32\ServerManager.exe"]

>>>  "C:\Users\user6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Server Manager.lnk"    -> ["C:\Windows\system32\ServerManager.exe"]

>>>  "C:\Users\Default\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"         -> ["C:\Windows\system32\mblctr.exe"]

>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk"  -> ["C:\Windows\system32\ServerManager.exe"]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Windows Server Backup.lnk"           -> ["C:\Windows\system32\wbadmin.msc"]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Health Registration Authority.lnk"       -> ["C:\Windows\system32\HCSCFG.MSC"]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\IIS Manager.lnk"     -> ["C:\Windows\system32\inetsrv\InetMgr.exe"]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Memory Diagnostics Tool.lnk"   -> ["C:\Windows\system32\MdSched.exe"]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Network Policy Server.lnk"     -> ["C:\Windows\system32\nps.msc"]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Security Configuration Management.lnk"   -> ["C:\Windows\system32\secpol.msc"  =>> /s]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Security Configuration Wizard.lnk"       -> ["C:\Windows\system32\scw.exe"]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk"  -> ["C:\Windows\system32\ServerManager.exe"]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\System Configuration.lnk"      -> ["C:\Windows\system32\msconfig.exe"]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Windows Server Backup.lnk"     -> ["C:\Windows\system32\wbadmin.msc"]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\Remote Desktop Licensing Diagnosis.lnk"    -> ["C:\Windows\system32\lsdiag.msc"]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\TS Gateway Manager.lnk"          -> ["C:\Windows\system32\tsgateway.msc"]

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\TS Licensing Manager.lnk"        -> ["C:\Windows\system32\licmgr.exe"]

 

[________________ Браузер по-умолчанию _______________]

 

- ftp   = C:\Windows\System32\OpenWith.exe "%1" (Выбор приложения)

- .htm  = C:\Windows\System32\OpenWith.exe "%1" (Выбор приложения)

- .html = C:\Windows\System32\OpenWith.exe "%1" (Выбор приложения)

- .url  = C:\Windows\System32\rundll32.exe "C:\Windows\System32\ieframe.dll",OpenURL %l (Браузер)

 

[____________________ Статистика ___________________]

 

Найдено угроз:      18

Перечислено файлов: 1841 (папок: 564, ярлыков: 131)

Затрачено времени:  6 сек. (поиск: 4 сек.)

 

Проверены:

C:\Users\user1

C:\Users\user2

C:\Users\user3

C:\Users\user4

C:\Users\user5

C:\Users\user6

C:\Users\user8

C:\Users\user9

C:\Users\user10

C:\Users\user11

C:\Users\user12

C:\Users\user13

C:\Users\Администратор

C:\Users\MSSQL$MICROSOFT##WID

C:\Users\Default

C:\Users\Public

C:\ProgramData

______________________________ Конец лога _______________________________9196 bytes, CRC32: FFFFFFFF. Sign: 쓍炌

Опубликовано

User:     user6 (group: Limited User) on SHOPSERV

Запустите утилиту от имени администратора. Лог не вставляйте в сообщение, а прикрепите к нему.
Опубликовано

Вы лог собрали утилитой, входящей в состав Автологера. А я просил именно этой.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 QuarantineFileF('C:\Users\user3\AppData\Roaming\Sys64\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Опубликовано

Добрый День. Отправил. Проверьте пожалуйста.

Опубликовано

Check Browsers' LNK, пожалуйста, прикрепите к сообщению.

Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Извините за задержку.

Опубликовано

Ran by user6 (ATTENTION: The user is not administrator)

Как и в прошлый раз напоминаю - утилиты следует запускать от имени администратора. Переделайте, пожалуйста.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Сергей Михайловский
      Автор Сергей Михайловский
      Такая вот проблемма, ко мне в компьютер попал какой то шифровщик, через время все файлы формата тхт, doc. jpeg. jpj. avi вообщем все на которых могла быть какая то информация не открывались, изменился на всех файлах формат на A7V3ac, и возле каждого файла появился такой вот документ текстовый;
      "Внимание! Все Ваши файлы зашифрованы!
      Чтобы восстановить свои файлы посетите сайт http://plc.2fh.coЕсли сайт недоступен пишите на plc12@inbox.com Ваш id d7135649 У вас есть 6 попыток ввода кода. При превышении этого  лимита все данные необратимо испортятся." Никакой антивирус не берет эту хрень пользовался какими то дешифраторами, но они только копий понаделывали которые так же не открываются. Прошу помочь, буду благодарен. CollectionLog-2015.10.01-13.30.zip
    • Дмитрий Кашуба
      Автор Дмитрий Кашуба
      Зашифровались файлы и добавилось расширение sfl776
       
      Прошу помочь, если кто может )
       
      Лог прилагаю. 
       
      Ссылка на зашифрованные файлы: https://yadi.sk/d/LUbJxhFYjPH6n
       
      Благодарю!
      CollectionLog-2015.09.28-22.29.zip
    • Ultimuver
      Автор Ultimuver
      Здравствуйте! У коллеги вирус зашифровал большой объем информации на переносном жестком диске, а внутренний она уже успела отформатировать. Посоветуйте что теперь с этим делать? Для анализа имеется зашифрованные файлы, оригинал одного из зашифрованных файлов, текстовое сообщение вымогателей и архивный фаил, с которого по словам человека все началось.
       
      Зашифрованный фаил в формате mp3
      Оригинальный фаил в формате mp3
      Текстовый фаил созданный вирусом
       
      Личный анализ показал, что данный вирус(шифратор) довольно хитро устроен. Он шифрует лишь половину файла, а остальную часть оставляет не измененной. zip и rar архивы открываются, но информация в них повреждена! Вот один из примеров:
       
      Зашифрованный архивный фаил
       
      Заранее благодарю!
       

      Строгое предупреждение от модератора Mark D. Pearlstone Вредоносные файлы на форум прикреплять не нужно. Ссылка удалена.
    • Артемий Гареев
      Автор Артемий Гареев
      Лог AutoLogger + зараженные файлы https://dropmefiles.com/qf4mR пароль wRdxOg

      Farbar Recovery Scan Tool
      CollectionLog-2015.09.22-23.07.zip
      Addition.txt
      FRST.txt
    • АртемВ
      Автор АртемВ
      Доброго времени суток. Прошу помощи....
       
      У меня точно же такая ситуация.... принесли ноут (родственники), на диске D все файлы с расширением txt, doc, rtf, zip, rar, pdf, pps, jpg, bmp, gif, htm, wav, mp3..... зашифрованы с расширением  .7Kf9uY, в каждой папочке текстовый файл с содержанием:
       
      Увидев переписку в данной теме, появилась надежда на восстановление... Поделитесь утилитой.
      Парочку зашифрованных файлов прилагаю.
       
      0.zip
×
×
  • Создать...