Перейти к содержанию

зашифровали все файлы 1С в ARROW

SerzhL
 Поделиться

Рекомендуемые сообщения

SerzhL

SerzhL

Опубликовано
Опубликовано

Добрый день зашифровались все данные 1C в формат arrow. По примеру название файла.расширение "копия.rar.id-5C63D86A.[decrypthelp@qq.com]". Удалены почти все файлы из C:\Program Files (x86)\1Cv77 и папка в которой хранились копии баз 1С, а так же сама баз имею расширение arrow. Заранее спасибо за помощь.

При запуске  AutoLogger.exe появляется сообщение о невозможности работы из-за терминальной сессии.

Логи при запуске Farbar Recovery Scan Tool:

 

FRST.txt

Addition.txt

Shortcut.txt

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

У Вас есть возможность предоставить логи автологера не в терминальной сессий, а подключившись к нему на прямую (непосредстенно на нем)?

SerzhL

SerzhL

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

 

У Вас есть возможность предоставить логи автологера не в терминальной сессий, а подключившись к нему на прямую (непосредстенно на нем)?

К сожалению  нет. Нахожусь на данный момент на выезде, буду там только через 1 неделю. Проблему нужно решать сейчас. Что делать, какой программой чистить подскажите пожалуйста? Архив зараженной базы создал.

SQ

SQ

Опубликовано
Опубликовано

Могли бы там временно установить, что-то типа tightvnc, winvnc или т.п. , далее собрать логи не в терминальной сессии?

P.S. в терминальной сессии логи могут показать не все активные угрозы, а также большая вероятность убить систему.

Также лог FRST игнализирует о наличие руткита:
 

HKLM\SYSTEM\CurrentControlSet\Services\4583545C962A8605 <==== ATTENTION (Rootkit!)

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
 

SerzhL

SerzhL

Опубликовано
  • Автор
Опубликовано (изменено)

Могли бы там временно установить, что-то типа tightvnc, winvnc или т.п. , далее собрать логи не в терминальной сессии?

 

P.S. в терминальной сессии логи могут показать не все активные угрозы, а также большая вероятность убить систему.

 

Также лог FRST игнализирует о наличие руткита:

 

HKLM\SYSTEM\CurrentControlSet\Services\4583545C962A8605 <==== ATTENTION (Rootkit!)

- Покажите лог TDSSKiller

Файл C:\TDSSKiller.***_log.txt приложите в теме.

(где *** - версия программы, дата и время запуска.)

Доброе время суток! Отправляю вам результаты проверок:

 

И ещё обнаружил, что при входе на сервер под user1 появляется вот такое сообщение:

report1.log

report2.log

TDSSKiller.3.1.0.17_26.07.2018_17.06.25_log.txt

post-50465-0-99767400-1532615100_thumb.jpg

post-50465-0-97621100-1532615212_thumb.jpg

Изменено пользователем SerzhL
SQ

SQ

Опубликовано
Опубликовано

В логах tddskiller чисто. Приложите лог автологгера.

SerzhL

SerzhL

Опубликовано
  • Автор
Опубликовано

В логах tddskiller чисто. Приложите лог автологгера.

логи автологера содержатся в файлах report1 и report2

SQ

SQ

Опубликовано
Опубликовано

Логи должны быть вида CollectionLog-2018.07.26-17.05

SerzhL

SerzhL

Опубликовано
  • Автор
Опубликовано (изменено)

Логи должны быть вида CollectionLog-2018.07.26-17.05

Посмотрите и дайте пожалуйста совет что делать дальше? Переустановить ОС на сервере или просто почистить сервак и заново установить 1С, а заодно и антивирус поменять?

CollectionLog-2018.07.26-17.05.zip

Изменено пользователем SerzhL
SQ

SQ

Опубликовано
Опубликовано

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

SQ

SQ

Опубликовано
Опубликовано

В лога вредоносное ПО не нашлось. Тут только могу предложить зачистку.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-07-19] ()
Folder: C:\Users\user2\AppData\Roaming\GHISLER
2018-07-19 10:59 - 2018-07-19 10:59 - 000013921 _____ C:\Users\user1\AppData\Roaming\Info.hta
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.
SerzhL

SerzhL

Опубликовано
  • Автор
Опубликовано

В лога вредоносное ПО не нашлось. Тут только могу предложить зачистку.

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-07-19] ()
Folder: C:\Users\user2\AppData\Roaming\GHISLER
2018-07-19 10:59 - 2018-07-19 10:59 - 000013921 _____ C:\Users\user1\AppData\Roaming\Info.hta
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.

 

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...