crysis зашифровали все файлы 1С в ARROW

19 июля, 2018

Добрый день зашифровались все данные 1C в формат arrow. По примеру название файла.расширение "копия.rar.id-5C63D86A.[decrypthelp@qq.com]". Удалены почти все файлы из C:\Program Files (x86)\1Cv77 и папка в которой хранились копии баз 1С, а так же сама баз имею расширение arrow. Заранее спасибо за помощь.

При запуске AutoLogger.exe появляется сообщение о невозможности работы из-за терминальной сессии.

Логи при запуске Farbar Recovery Scan Tool:

FRST.txt

Addition.txt

Shortcut.txt

19 июля, 2018

Здравствуйте,

У Вас есть возможность предоставить логи автологера не в терминальной сессий, а подключившись к нему на прямую (непосредстенно на нем)?

19 июля, 2018

Здравствуйте,

У Вас есть возможность предоставить логи автологера не в терминальной сессий, а подключившись к нему на прямую (непосредстенно на нем)?

К сожалению нет. Нахожусь на данный момент на выезде, буду там только через 1 неделю. Проблему нужно решать сейчас. Что делать, какой программой чистить подскажите пожалуйста? Архив зараженной базы создал.

19 июля, 2018

Могли бы там временно установить, что-то типа tightvnc, winvnc или т.п. , далее собрать логи не в терминальной сессии?

P.S. в терминальной сессии логи могут показать не все активные угрозы, а также большая вероятность убить систему.

Также лог FRST игнализирует о наличие руткита:

HKLM\SYSTEM\CurrentControlSet\Services\4583545C962A8605 <==== ATTENTION (Rootkit!)

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

26 июля, 2018

Могли бы там временно установить, что-то типа tightvnc, winvnc или т.п. , далее собрать логи не в терминальной сессии?

P.S. в терминальной сессии логи могут показать не все активные угрозы, а также большая вероятность убить систему.

Также лог FRST игнализирует о наличие руткита:
HKLM\SYSTEM\CurrentControlSet\Services\4583545C962A8605 <==== ATTENTION (Rootkit!)
- Покажите лог TDSSKiller

Файл C:\TDSSKiller.***_log.txt приложите в теме.

(где *** - версия программы, дата и время запуска.)

Доброе время суток! Отправляю вам результаты проверок:

И ещё обнаружил, что при входе на сервер под user1 появляется вот такое сообщение:

report1.log

report2.log

TDSSKiller.3.1.0.17_26.07.2018_17.06.25_log.txt

Изменено 26 июля, 2018 пользователем SerzhL

26 июля, 2018

В логах tddskiller чисто. Приложите лог автологгера.

26 июля, 2018

В логах tddskiller чисто. Приложите лог автологгера.

логи автологера содержатся в файлах report1 и report2

26 июля, 2018

Логи должны быть вида CollectionLog-2018.07.26-17.05

26 июля, 2018

Логи должны быть вида CollectionLog-2018.07.26-17.05

Посмотрите и дайте пожалуйста совет что делать дальше? Переустановить ОС на сервере или просто почистить сервак и заново установить 1С, а заодно и антивирус поменять?

CollectionLog-2018.07.26-17.05.zip

Изменено 26 июля, 2018 пользователем SerzhL

26 июля, 2018

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

26 июля, 2018

Здесь результат сканирования

Addition.txt

FRST.txt

Shortcut.txt

26 июля, 2018

В лога вредоносное ПО не нашлось. Тут только могу предложить зачистку.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-07-19] ()
Folder: C:\Users\user2\AppData\Roaming\GHISLER
2018-07-19 10:59 - 2018-07-19 10:59 - 000013921 _____ C:\Users\user1\AppData\Roaming\Info.hta

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что сервер возможно будет перезагружен.

27 июля, 2018

В лога вредоносное ПО не нашлось. Тут только могу предложить зачистку.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-07-19] ()
Folder: C:\Users\user2\AppData\Roaming\GHISLER
2018-07-19 10:59 - 2018-07-19 10:59 - 000013921 _____ C:\Users\user1\AppData\Roaming\Info.hta
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что сервер возможно будет перезагружен.

Fixlog.txt

27 июля, 2018

пробуйте https://forum.kasperskyclub.ru/index.php?showtopic=48525

27 июля, 2018

пробуйте https://forum.kasperskyclub.ru/index.php?showtopic=48525

ЭТО для расшифровки, правильно? а чистить мне кроме автозапуска, нужно еще что то? спасибо!

crysis зашифровали все файлы 1С в ARROW

Рекомендуемые сообщения

SerzhL

SQ

SerzhL

SQ

SerzhL

SQ

SerzhL

SQ

SerzhL

SQ

SerzhL

SQ

SerzhL

SQ

SerzhL

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum