SerzhL 0 Опубликовано 19 июля, 2018 Share Опубликовано 19 июля, 2018 Добрый день зашифровались все данные 1C в формат arrow. По примеру название файла.расширение "копия.rar.id-5C63D86A.[decrypthelp@qq.com]". Удалены почти все файлы из C:\Program Files (x86)\1Cv77 и папка в которой хранились копии баз 1С, а так же сама баз имею расширение arrow. Заранее спасибо за помощь. При запуске AutoLogger.exe появляется сообщение о невозможности работы из-за терминальной сессии. Логи при запуске Farbar Recovery Scan Tool: FRST.txt Addition.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 19 июля, 2018 Share Опубликовано 19 июля, 2018 Здравствуйте,У Вас есть возможность предоставить логи автологера не в терминальной сессий, а подключившись к нему на прямую (непосредстенно на нем)? Ссылка на сообщение Поделиться на другие сайты
SerzhL 0 Опубликовано 19 июля, 2018 Автор Share Опубликовано 19 июля, 2018 Здравствуйте, У Вас есть возможность предоставить логи автологера не в терминальной сессий, а подключившись к нему на прямую (непосредстенно на нем)? К сожалению нет. Нахожусь на данный момент на выезде, буду там только через 1 неделю. Проблему нужно решать сейчас. Что делать, какой программой чистить подскажите пожалуйста? Архив зараженной базы создал. Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 19 июля, 2018 Share Опубликовано 19 июля, 2018 Могли бы там временно установить, что-то типа tightvnc, winvnc или т.п. , далее собрать логи не в терминальной сессии?P.S. в терминальной сессии логи могут показать не все активные угрозы, а также большая вероятность убить систему.Также лог FRST игнализирует о наличие руткита: HKLM\SYSTEM\CurrentControlSet\Services\4583545C962A8605 <==== ATTENTION (Rootkit!) - Покажите лог TDSSKillerФайл C:\TDSSKiller.***_log.txt приложите в теме.(где *** - версия программы, дата и время запуска.) Ссылка на сообщение Поделиться на другие сайты
SerzhL 0 Опубликовано 26 июля, 2018 Автор Share Опубликовано 26 июля, 2018 (изменено) Могли бы там временно установить, что-то типа tightvnc, winvnc или т.п. , далее собрать логи не в терминальной сессии? P.S. в терминальной сессии логи могут показать не все активные угрозы, а также большая вероятность убить систему. Также лог FRST игнализирует о наличие руткита: HKLM\SYSTEM\CurrentControlSet\Services\4583545C962A8605 <==== ATTENTION (Rootkit!) - Покажите лог TDSSKiller Файл C:\TDSSKiller.***_log.txt приложите в теме. (где *** - версия программы, дата и время запуска.) Доброе время суток! Отправляю вам результаты проверок: И ещё обнаружил, что при входе на сервер под user1 появляется вот такое сообщение: report1.log report2.log TDSSKiller.3.1.0.17_26.07.2018_17.06.25_log.txt Изменено 26 июля, 2018 пользователем SerzhL Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 26 июля, 2018 Share Опубликовано 26 июля, 2018 В логах tddskiller чисто. Приложите лог автологгера. Ссылка на сообщение Поделиться на другие сайты
SerzhL 0 Опубликовано 26 июля, 2018 Автор Share Опубликовано 26 июля, 2018 В логах tddskiller чисто. Приложите лог автологгера. логи автологера содержатся в файлах report1 и report2 Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 26 июля, 2018 Share Опубликовано 26 июля, 2018 Логи должны быть вида CollectionLog-2018.07.26-17.05 Ссылка на сообщение Поделиться на другие сайты
SerzhL 0 Опубликовано 26 июля, 2018 Автор Share Опубликовано 26 июля, 2018 (изменено) Логи должны быть вида CollectionLog-2018.07.26-17.05 Посмотрите и дайте пожалуйста совет что делать дальше? Переустановить ОС на сервере или просто почистить сервак и заново установить 1С, а заодно и антивирус поменять? CollectionLog-2018.07.26-17.05.zip Изменено 26 июля, 2018 пользователем SerzhL Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 26 июля, 2018 Share Опубликовано 26 июля, 2018 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
SerzhL 0 Опубликовано 26 июля, 2018 Автор Share Опубликовано 26 июля, 2018 Здесь результат сканирования Addition.txt FRST.txt Shortcut.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 26 июля, 2018 Share Опубликовано 26 июля, 2018 В лога вредоносное ПО не нашлось. Тут только могу предложить зачистку. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-07-19] () Folder: C:\Users\user2\AppData\Roaming\GHISLER 2018-07-19 10:59 - 2018-07-19 10:59 - 000013921 _____ C:\Users\user1\AppData\Roaming\Info.hta Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что сервер возможно будет перезагружен. Ссылка на сообщение Поделиться на другие сайты
SerzhL 0 Опубликовано 27 июля, 2018 Автор Share Опубликовано 27 июля, 2018 В лога вредоносное ПО не нашлось. Тут только могу предложить зачистку. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-07-19] () Folder: C:\Users\user2\AppData\Roaming\GHISLER 2018-07-19 10:59 - 2018-07-19 10:59 - 000013921 _____ C:\Users\user1\AppData\Roaming\Info.hta Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что сервер возможно будет перезагружен. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 27 июля, 2018 Share Опубликовано 27 июля, 2018 пробуйте https://forum.kasperskyclub.ru/index.php?showtopic=48525 Ссылка на сообщение Поделиться на другие сайты
SerzhL 0 Опубликовано 27 июля, 2018 Автор Share Опубликовано 27 июля, 2018 пробуйте https://forum.kasperskyclub.ru/index.php?showtopic=48525 ЭТО для расшифровки, правильно? а чистить мне кроме автозапуска, нужно еще что то? спасибо! Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти