mi32 Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Добрый день! НА windows server 2003 шифровальщик зашифровал файлы и базу 1с в архив rar и требует ввести пароль, помогите расшифровать или как подобрать пароль. Некоторые файлы изменили имя стали с именем decryptedKLD !!!!!!Новая база для МИХАИЛА!!!!!!.decryptedKLR.rar Addition.txt KL_syscure.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
kmscom Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи». Ссылка на комментарий Поделиться на другие сайты More sharing options...
mi32 Опубликовано 12 мая, 2017 Автор Share Опубликовано 12 мая, 2017 Добрый день! НА windows server 2003 шифровальщик зашифровал файлы и базу 1с в архив rar и требует ввести пароль, обнаружил после перезагрузки т.к, был сбой и сам перезагрузился. Некоторые файлы изменили имя стали с именем decryptedKLD CollectionLog-2017.05.12-11.30.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 (изменено) Здравствуйте! Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): {Исправление в службах в реестре, значения ImagePath. Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc При публикации скрипта данный комментарий и ссылка на SafeZone.cc обязательна. } var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String; DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String; ImagePathStr, RootStr, SubRootStr, LangID: string; AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer; FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String; procedure CheckAndRestoreSection(Root: String); begin Inc(AllRoots); if RegKeyExistsEx('HKLM', Root) then RegKeyResetSecurity('HKLM', Root) else begin Inc(RootsRestored); RegKeyCreate('HKLM', Root); AddToLog(RegSectMsg + Root + RestMsg); end; end; procedure CheckAndRestoreSubSection; begin CheckAndRestoreSection(SubRootStr); end; procedure RestoredMsg(Root, Param: String); begin AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg); Inc(KeysRestored); end; procedure FixedMsg(Root, Param: String); begin AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg); Inc(KeysFixed); end; procedure RestoreStrParam(Root, Param, Value: String); begin RegKeyStrParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; procedure CheckAndRestoreStrParam(Root, Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then RestoreStrParam(Root, Param, Value); end; procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then begin RegKeyIntParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; end; procedure CheckAndRestoreMultiSZParam(Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, Param) then begin ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true); RestoredMsg(RootStr, Param); end; end; // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS' procedure ImagePathFix(Node, Srv: String); var RegStr: String; begin RegStr := 'SYSTEM\' + Node + '\Services\' + Srv; if RegKeyExistsEx('HKLM', RegStr) then begin Inc(AllKeys); RegKeyResetSecurity('HKLM', RegStr); RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr); FixedMsg(RegStr, 'ImagePath'); end; end; { Выполнение исправление всех ключей в ветках - 'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'} procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String); var FileServiceDll, CCSNumber: string; i : integer; begin if Srv = 'BITS' then FileServiceDll := FullPathSystem32 + 'qmgr.dll' else FileServiceDll := FullPathSystem32 + 'wuauserv.dll'; RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv; CheckAndRestoreSection(RootStr); CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText); CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText); CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem'); Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr) else begin Dec(AllKeys); if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then for i:= 0 to 999 do begin if i > 0 then CCSNumber := FormatFloat('ControlSet000', i) else CCSNumber := 'CurrentControlSet'; ImagePathFix(CCSNumber, Srv); end; end; CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1); CheckAndRestoreIntParam(RootStr, 'Start', 2); CheckAndRestoreIntParam(RootStr, 'Type', 32); if Srv = 'BITS' then begin CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs'); CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ'); end; SubRootStr:= RootStr + '\Enum'; CheckAndRestoreSubSection; CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000'); CheckAndRestoreIntParam(SubRootStr, 'Count', 1); CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1); SubRootStr := RootStr + '\Security'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then begin RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00'); RestoredMsg(SubRootStr, 'Security'); end; SubRootStr:= RootStr + '\Parameters'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); RestoredMsg(SubRootStr, 'ServiceDll'); end else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); FixedMsg(SubRootStr, 'ServiceDll'); end end; { Главное выполнение } begin SearchRootkit(true, true); QuarantineFile('C:\system.exe',''); QuarantineFile('C:\Program Files\WindowsUpdate\safesurf.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\Documents and Settings\Забелина1\yeawl.exe',''); QuarantineFile('c:\windows\system32\umssvga.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\sdra64.exe', ''); QuarantineFile('C:\Documents and Settings\Администратор2\Application Data\sdra64.exe', ''); QuarantineFile('C:\Documents and Settings\Савина.SERVER2008.003\Application Data\sdra64.exe', ''); QuarantineFile('C:\WINDOWS\Temp\rvgu.dat', ''); QuarantineFile('c:\windows\svchost.exe', ''); QuarantineFile('C:\DOCUME~1\oper1\LOCALS~1\Temp\3\rarext.dll', ''); QuarantineFile('C:\WINDOWS\sysadm2.bat', ''); QuarantineFile('C:\WINDOWS\sysadm.bat', ''); DeleteFile('C:\Documents and Settings\Забелина1\yeawl.exe','32'); DeleteFile('C:\WINDOWS\system32\amvo.exe','32'); DeleteFile('C:\Program Files\WindowsUpdate\safesurf.exe','32'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\sdra64.exe', '32'); DeleteFile('C:\Documents and Settings\Администратор2\Application Data\sdra64.exe', '32'); DeleteFile('C:\Documents and Settings\Савина.SERVER2008.003\Application Data\sdra64.exe', '32'); DeleteFile('C:\WINDOWS\Temp\rvgu.dat', '32'); DeleteFile('c:\windows\svchost.exe', '32'); ClearLog; ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg'); LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); if LangID = '0419' then begin DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.'; DispayNameTextWuauServ := 'Автоматическое обновление'; DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.'; DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)'; AddToLog('Операционная система - русская'); FinishMsg := '–––– Восстановление завершено ––––'; RestoreMsg := 'Восстановлено разделов\параметров: '; FixMsg := 'Исправлено параметров: '; CheckMsg := 'Проверено разделов\параметров: '; RegSectMsg := 'Раздел реестра HKLM\'; ParamMsg := 'Параметр '; ParamValueMsg := 'Значение параметра '; InRegSectMsg := ' в разделе реестра HKLM\'; CorrectMsg := ' исправлено на оригинальное.'; RestMsg := 'восстановлен.'; end else if LangID = '0409' then begin DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.'; DispayNameTextWuauServ := 'Automatic Updates'; DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.'; DispayNameTextBITS := 'Background Intelligent Transfer Service'; AddToLog('Operation system - english'); FinishMsg := '–––– Restoration finished ––––'; RestoreMsg := 'Sections\parameters restored: '; FixMsg := 'Parameters corrected: '; CheckMsg := 'Sections\parameters checked: '; RegSectMsg := 'Registry section HKLM\'; ParamMsg := 'Parameter '; ParamValueMsg := 'Value of parameter '; InRegSectMsg := ' in registry section HKLM\'; CorrectMsg := ' corrected on original.'; RestMsg := ' restored.'; end; AddToLog(''); { Определение папки X:\Windows\System32\ } NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory'); ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs'; Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1); FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\'; AllRoots := 0; AllKeys := 0; RootsRestored := 0; KeysRestored := 0; KeysFixed := 0; CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS'); CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv'); AddToLog(''); AddToLog(FinishMsg); AddToLog(''); AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored)); AddToLog(FixMsg + IntToStr(KeysFixed)); AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys)); SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log'); DelCLSID('{B41DB860-8EE4-11D2-9906-E49FADC173CA}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amva','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\jsafesurf','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NET.Framework','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{B41DB860-8EE4-11D2-9906-E49FADC173CA}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); BC_ImportALL; ExecuteSysClean; BC_Activate; end. После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему посту. Пожалуйста, перезагрузите компьютер вручную. После перезагрузки, выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Изменено 12 мая, 2017 пользователем Sandor Ссылка на комментарий Поделиться на другие сайты More sharing options...
mi32 Опубликовано 12 мая, 2017 Автор Share Опубликовано 12 мая, 2017 файл появился на носителе, на почту отправил. Correct_wuauserv&BITS.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Повторный CollectionLog делаете? Ссылка на комментарий Поделиться на другие сайты More sharing options...
mi32 Опубликовано 12 мая, 2017 Автор Share Опубликовано 12 мая, 2017 [KLAN-6227793577] сделал, пока все также осталось CollectionLog-2017.05.12-15.04.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mi32 Опубликовано 12 мая, 2017 Автор Share Опубликовано 12 мая, 2017 Провел сканирование Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-3826735278-2078408290-3311478416-500\...\MountPoints2: {a92c4adf-b48c-11dd-b2fe-001d60d45c01} - RECYCLER\S-1-5-21+±482476501-1644491937-682003330-1013\iuhi64.exe HKU\S-1-5-21-3826735278-2078408290-3311478416-500\...\Winlogon: [Shell] C:\Documents and Settings\Черкасова3\yeawl.exe,C:\Documents and Settings\Администратор\yeawl.exe,C:\Documents and Settings\Черкасова3\Application Data\nsvb.exe,C:\Documents and Settings\Савина3\Application Data\nsvb.exe,C:\Documents and Settings\Забелина1\Application Data\nsvb.exe,explorer.exe,C:\Documents and Settings\Администратор\Application Data\nsvb.exe <==== ATTENTION GroupPolicy: Restriction ? <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION HKU\S-1-5-21-3826735278-2078408290-3311478416-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION S2 ipz2; "C:\WINDOWS\system32\ipz2.exe" --service [X] MSCONFIG\startupreg: amva => MSCONFIG\startupreg: jsafesurf => Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перезагрузите компьютер вручную. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mi32 Опубликовано 12 мая, 2017 Автор Share Опубликовано 12 мая, 2017 сделал Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 С расшифровкой помочь не сможем. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Ссылка на комментарий Поделиться на другие сайты More sharing options...
mi32 Опубликовано 17 мая, 2017 Автор Share Опубликовано 17 мая, 2017 как восстановить доступ и интернету? после всех рекомендаций не получается. Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 18 мая, 2017 Share Опубликовано 18 мая, 2017 В смысле? В чём проблема и после чего она началась? Ссылка на комментарий Поделиться на другие сайты More sharing options...
mi32 Опубликовано 18 мая, 2017 Автор Share Опубликовано 18 мая, 2017 после ваших рекомендаций, сейчас любой ip ping пишет узел не доступен, все перепробывал Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти