amimaru 0 Опубликовано 9 декабря, 2018 Share Опубликовано 9 декабря, 2018 Приветствую. Аналогичная проблема. Прошу помочь. Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 528 Опубликовано 9 декабря, 2018 Share Опубликовано 9 декабря, 2018 Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
amimaru 0 Опубликовано 9 декабря, 2018 Автор Share Опубликовано 9 декабря, 2018 Приветствую. помогите с расшифровкой файлов на сервере. 1. Проверку выполнил 2. С помощью актуальной версии сборщика логов файл прикреплен 3. тема содана 4. Ждмес...) Сообщение от модератора Mark D. Pearlstone Темы объединены. лог прикрепил. помощь поступит? CollectionLog-2018.12.09-15.39.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 9 декабря, 2018 Share Опубликовано 9 декабря, 2018 Здравствуйте! Один из файлов Info.hta заархивируйте и прикрепите к сообщению.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-7A826C46.[newsantaclaus@aol.com].santa', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\tender\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Windows\System32\Info.hta', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-7A826C46.[newsantaclaus@aol.com].santa', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\tender\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Windows\System32\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\tender\AppData\Roaming\Info.hta', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); end. Пожалуйста, перезагрузите компьютер вручную.Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Ссылка на сообщение Поделиться на другие сайты
amimaru 0 Опубликовано 9 декабря, 2018 Автор Share Опубликовано 9 декабря, 2018 файл прикладываю... новый лог во вложении подскажите, какие мои дальнейшие действия? Судя по проверке вируса нет, но данные все еще зашифрованы. Получится восстановить? кто-нибудь даст ответ. что делать для расшифровки данных? Info.rar CollectionLog-2018.12.09-17.51.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 9 декабря, 2018 Share Опубликовано 9 декабря, 2018 подскажите, какие мои дальнейшие действия? набраться и иметь терпение. Мы тут помогаем на добровольной основе и в своё личное свободное время. А в выходные есть и другие дела. Насчёт файлов попробуйте RakhniDecryptor. О результатах отпишитесь. C:\FILES ENCRYPTED.txt тоже прикрепите. Ссылка на сообщение Поделиться на другие сайты
amimaru 0 Опубликовано 9 декабря, 2018 Автор Share Опубликовано 9 декабря, 2018 (изменено) спасибо)). просто тишина. терпения вагон. просто надо понимать ждать помощи или нет. Еще раз спасибо Попробовал - не поддерживаемый тип зашифрованного файла FILES ENCRYPTED.txt Изменено 9 декабря, 2018 пользователем amimaru Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 9 декабря, 2018 Share Опубликовано 9 декабря, 2018 пример зашифрованного файла прикрепите. просто тишина. так мы же не сидим тут круглосоточно, как выше написал помогаем в своё личное свободное время. Ссылка на сообщение Поделиться на другие сайты
amimaru 0 Опубликовано 9 декабря, 2018 Автор Share Опубликовано 9 декабря, 2018 один из зашифрованных файлов прикладываю в архиве... winbox.exe.zip Ссылка на сообщение Поделиться на другие сайты
MaxSurAn 0 Опубликовано 10 декабря, 2018 Share Опубликовано 10 декабря, 2018 Добрый день. У нас аналогичная проблема, но видел ругань антивируса на win32/Filecoder.Crysis.P, по классификации ESET. Может чем-то поможет. Ссылка на сообщение Поделиться на другие сайты
amimaru 0 Опубликовано 10 декабря, 2018 Автор Share Опубликовано 10 декабря, 2018 (изменено) Честно говоря не понял как это работает. выполнил вот такую команду C:\Windows\System32\config\systemprofile\Desktop>esetcrysisdecryptor.exe /d c:\*.id-7A826C46.[newsantaclaus@aol.com].sa В ответ получил вот это: OS: 6.3.9600 SP0 Product Type: Server WoW64: True Machine guid: C1528324-9DEC-4E5D-9A09-5A2B256E1E2C Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dhar ma, .onion, .wallet ------------------------------------------------------------------------------- DebugMode Enabled ------------------------------------------------------------------------------- Looking for infected files... ------------------------------------------------------------------------------- ------------------------------------------------------------------------------- 0 infected files found. 0 file(s) cleaned. Cleaning Finished. The cleaner has successfully finished cleaning your system. [Ok] Эффекта ноль. Может я что-то делаю не так? Судя по сообщениям не поддерживает формат. Изменено 10 декабря, 2018 пользователем amimaru Ссылка на сообщение Поделиться на другие сайты
amimaru 0 Опубликовано 10 декабря, 2018 Автор Share Опубликовано 10 декабря, 2018 Ребятушки, подскажите, пожалуйста, имеет смысл ждать, что появится дешифратор? очень хочется понять, что делать дальше: ждать или предпринимать что-то другое - в нашем случае поднимать новый сервак СУБД ,тк бекапы баз есть Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 10 декабря, 2018 Share Опубликовано 10 декабря, 2018 C:\FILES ENCRYPTED.txt прикрепите к сообщению, а также один из зашифрованных файлов. + При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Насчёт возможности рассшифровки лучше уточните у них. Ответ желательно тут напишите. Ссылка на сообщение Поделиться на другие сайты
amimaru 0 Опубликовано 10 декабря, 2018 Автор Share Опубликовано 10 декабря, 2018 оба файла в архиве Desktop.zip Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти