зашифровали все файлы 1С в ARROW

[SerzhL]

Добрый день зашифровались все данные 1C в формат arrow. По примеру название файла.расширение "копия.rar.id-5C63D86A.[decrypthelp@qq.com]". Удалены почти все файлы из C:\Program Files (x86)\1Cv77 и папка в которой хранились копии баз 1С, а так же сама баз имею расширение arrow. Заранее спасибо за помощь.

При запуске  AutoLogger.exe появляется сообщение о невозможности работы из-за терминальной сессии.

Логи при запуске Farbar Recovery Scan Tool:

 

FRST.txt

Addition.txt

Shortcut.txt

[SQ]

Здравствуйте,

У Вас есть возможность предоставить логи автологера не в терминальной сессий, а подключившись к нему на прямую (непосредстенно на нем)?

[SerzhL]

Здравствуйте,

 

У Вас есть возможность предоставить логи автологера не в терминальной сессий, а подключившись к нему на прямую (непосредстенно на нем)?

К сожалению  нет. Нахожусь на данный момент на выезде, буду там только через 1 неделю. Проблему нужно решать сейчас. Что делать, какой программой чистить подскажите пожалуйста? Архив зараженной базы создал.

[SQ]

Могли бы там временно установить, что-то типа tightvnc, winvnc или т.п. , далее собрать логи не в терминальной сессии?

P.S. в терминальной сессии логи могут показать не все активные угрозы, а также большая вероятность убить систему.

Также лог FRST игнализирует о наличие руткита:
 

HKLM\SYSTEM\CurrentControlSet\Services\4583545C962A8605 <==== ATTENTION (Rootkit!)

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
 

[SerzhL]

Могли бы там временно установить, что-то типа tightvnc, winvnc или т.п. , далее собрать логи не в терминальной сессии?

 

P.S. в терминальной сессии логи могут показать не все активные угрозы, а также большая вероятность убить систему.

 

Также лог FRST игнализирует о наличие руткита:

 

HKLM\SYSTEM\CurrentControlSet\Services\4583545C962A8605 <==== ATTENTION (Rootkit!)

- Покажите лог TDSSKiller

Файл C:\TDSSKiller.***_log.txt приложите в теме.

(где *** - версия программы, дата и время запуска.)

Доброе время суток! Отправляю вам результаты проверок:

 

И ещё обнаружил, что при входе на сервер под user1 появляется вот такое сообщение:

report1.log

report2.log

TDSSKiller.3.1.0.17_26.07.2018_17.06.25_log.txt

Изменено 26 июля, 2018 пользователем SerzhL

[SQ]

В логах tddskiller чисто. Приложите лог автологгера.

[SerzhL]

В логах tddskiller чисто. Приложите лог автологгера.

логи автологера содержатся в файлах report1 и report2

[SQ]

Логи должны быть вида CollectionLog-2018.07.26-17.05

[SerzhL]

Логи должны быть вида CollectionLog-2018.07.26-17.05

Посмотрите и дайте пожалуйста совет что делать дальше? Переустановить ОС на сервере или просто почистить сервак и заново установить 1С, а заодно и антивирус поменять?

CollectionLog-2018.07.26-17.05.zip

Изменено 26 июля, 2018 пользователем SerzhL

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[SerzhL]

Здесь результат сканирования

Addition.txt

FRST.txt

Shortcut.txt

[SQ]

В лога вредоносное ПО не нашлось. Тут только могу предложить зачистку.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-07-19] ()
  Folder: C:\Users\user2\AppData\Roaming\GHISLER
  2018-07-19 10:59 - 2018-07-19 10:59 - 000013921 _____ C:\Users\user1\AppData\Roaming\Info.hta
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

[SerzhL]

В лога вредоносное ПО не нашлось. Тут только могу предложить зачистку.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-07-19] ()
  Folder: C:\Users\user2\AppData\Roaming\GHISLER
  2018-07-19 10:59 - 2018-07-19 10:59 - 000013921 _____ C:\Users\user1\AppData\Roaming\Info.hta
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

 

Fixlog.txt

[SQ]

пробуйте https://forum.kasperskyclub.ru/index.php?showtopic=48525

[SerzhL]

пробуйте https://forum.kasperskyclub.ru/index.php?showtopic=48525

ЭТО для расшифровки, правильно? а чистить мне кроме автозапуска, нужно  еще что то? спасибо!