Перейти к содержанию

зашифровали все файлы 1С в ARROW

SerzhL
 Share

Рекомендуемые сообщения

SerzhL Новичок

SerzhL

Опубликовано
Опубликовано

Добрый день зашифровались все данные 1C в формат arrow. По примеру название файла.расширение "копия.rar.id-5C63D86A.[decrypthelp@qq.com]". Удалены почти все файлы из C:\Program Files (x86)\1Cv77 и папка в которой хранились копии баз 1С, а так же сама баз имею расширение arrow. Заранее спасибо за помощь.

При запуске  AutoLogger.exe появляется сообщение о невозможности работы из-за терминальной сессии.

Логи при запуске Farbar Recovery Scan Tool:

 

FRST.txt

Addition.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

У Вас есть возможность предоставить логи автологера не в терминальной сессий, а подключившись к нему на прямую (непосредстенно на нем)?

Ссылка на комментарий
Поделиться на другие сайты
SerzhL Новичок

SerzhL

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

 

У Вас есть возможность предоставить логи автологера не в терминальной сессий, а подключившись к нему на прямую (непосредстенно на нем)?

К сожалению  нет. Нахожусь на данный момент на выезде, буду там только через 1 неделю. Проблему нужно решать сейчас. Что делать, какой программой чистить подскажите пожалуйста? Архив зараженной базы создал.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Могли бы там временно установить, что-то типа tightvnc, winvnc или т.п. , далее собрать логи не в терминальной сессии?

P.S. в терминальной сессии логи могут показать не все активные угрозы, а также большая вероятность убить систему.

Также лог FRST игнализирует о наличие руткита:
 

HKLM\SYSTEM\CurrentControlSet\Services\4583545C962A8605 <==== ATTENTION (Rootkit!)

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
 

Ссылка на комментарий
Поделиться на другие сайты
SerzhL Новичок

SerzhL

Опубликовано
  • Автор
Опубликовано (изменено)

Могли бы там временно установить, что-то типа tightvnc, winvnc или т.п. , далее собрать логи не в терминальной сессии?

 

P.S. в терминальной сессии логи могут показать не все активные угрозы, а также большая вероятность убить систему.

 

Также лог FRST игнализирует о наличие руткита:

 

HKLM\SYSTEM\CurrentControlSet\Services\4583545C962A8605 <==== ATTENTION (Rootkit!)

- Покажите лог TDSSKiller

Файл C:\TDSSKiller.***_log.txt приложите в теме.

(где *** - версия программы, дата и время запуска.)

Доброе время суток! Отправляю вам результаты проверок:

 

И ещё обнаружил, что при входе на сервер под user1 появляется вот такое сообщение:

report1.log

report2.log

TDSSKiller.3.1.0.17_26.07.2018_17.06.25_log.txt

post-50465-0-99767400-1532615100_thumb.jpg

post-50465-0-97621100-1532615212_thumb.jpg

Изменено пользователем SerzhL
Ссылка на комментарий
Поделиться на другие сайты
SerzhL Новичок

SerzhL

Опубликовано
  • Автор
Опубликовано (изменено)

Логи должны быть вида CollectionLog-2018.07.26-17.05

Посмотрите и дайте пожалуйста совет что делать дальше? Переустановить ОС на сервере или просто почистить сервак и заново установить 1С, а заодно и антивирус поменять?

CollectionLog-2018.07.26-17.05.zip

Изменено пользователем SerzhL
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

В лога вредоносное ПО не нашлось. Тут только могу предложить зачистку.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-07-19] ()
Folder: C:\Users\user2\AppData\Roaming\GHISLER
2018-07-19 10:59 - 2018-07-19 10:59 - 000013921 _____ C:\Users\user1\AppData\Roaming\Info.hta
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SerzhL Новичок

SerzhL

Опубликовано
  • Автор
Опубликовано

В лога вредоносное ПО не нашлось. Тут только могу предложить зачистку.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-07-19] ()
Folder: C:\Users\user2\AppData\Roaming\GHISLER
2018-07-19 10:59 - 2018-07-19 10:59 - 000013921 _____ C:\Users\user1\AppData\Roaming\Info.hta
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      Файлы зашифрованы .Demetro9990@cock.li
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      Зашифровали файлы на ***.kasper
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Николай Костиков
      Зашифрованы файлы 1С
      От Николай Костиков
      Доброго всем дня !!! Ребята помогите дешефратором , один паразит американских файлы 1 С у меня зашифровал. Пример файлов прикладываю к письму.
      user-192.png.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Эдуард Autofresh
      Зашифровались файлы, ELPACO-TEAM
      От Эдуард Autofresh
      Зашифровались все файлы и компьютеры, которые имели общую сетевую папку с зараженным компьютером (3 штуки). На первом зараженном компьютере добавился новый пользователь, и разделился жесткий диск. На первом зараженном компьютере диспетчер задач не открывается. Файлы зараженные представлены в архиве.  Файл шифровальщика не нашел.
       



      FRST.rar
×
×
  • Создать...