Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте,

 

Приложение No-IP сами ставили?

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Опубликовано (изменено)

Здравствуйте,

 

Приложение No-IP сами ставили?

 

No-IP ставил я. Для связи удаленного пользователя через интернет.

 

 

  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

     

     

FRST.txt

Addition.txt

Изменено пользователем max_2917897
Опубликовано

В логах нет шифровальщика, только мусор.

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    File: C:\Program Files (x86)\xStarter\xstarter.exe
    2019-01-25 00:01 - 2019-01-25 00:01 - 006220854 _____ C:\Users\buh1\FCSvybSJh.bmp
    2019-01-25 00:01 - 2019-01-25 00:01 - 000003970 _____ C:\Users\Все пользователи\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-01-25 00:01 - 2019-01-25 00:01 - 000003970 _____ C:\Users\Администратор\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-01-25 00:01 - 2019-01-25 00:01 - 000003970 _____ C:\Users\Администратор\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-01-25 00:01 - 2019-01-25 00:01 - 000003970 _____ C:\Users\Администратор\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-01-25 00:01 - 2019-01-25 00:01 - 000003970 _____ C:\Users\Public\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-01-25 00:01 - 2019-01-25 00:01 - 000003970 _____ C:\Users\Public\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-01-25 00:01 - 2019-01-25 00:01 - 000003970 _____ C:\Users\Public\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-01-25 00:01 - 2019-01-25 00:01 - 000003970 _____ C:\Users\buh1\Downloads\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-01-25 00:01 - 2019-01-25 00:01 - 000003970 _____ C:\Users\buh1\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-01-25 00:01 - 2019-01-25 00:01 - 000003970 _____ C:\ProgramData\Documents\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-01-25 00:00 - 2019-01-25 00:02 - 000003970 _____ C:\Users\buh1\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    2019-01-25 00:00 - 2019-01-25 00:02 - 000003970 _____ C:\Users\buh1\Desktop\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
    Folder: C:\Users\buh1\WINDOWS
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что сервер возможно будет перезагружен.




Обратите внимание на системные события похоже какой-то из дисков сыпится:

Error: (01/25/2019 09:38:50 AM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (01/25/2019 09:38:50 AM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (01/25/2019 09:38:49 AM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (01/25/2019 09:38:49 AM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (01/25/2019 09:38:48 AM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
Опубликовано

 

В логах нет шифровальщика

 

 

Такое разве может? Сделал дела и "свалил", шифровальщик?

Опубликовано

Да, возможно по крайней мере с шифровальщиком Scarab-Omerta либо антивирусное ПО удалило.

Опубликовано

Да, возможно по крайней мере с шифровальщиком Scarab-Omerta либо антивирусное ПО удалило.

Возможно ли дешифровать? Кто это сможет, даже за платно. 

  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

     

     

 

Fixlog.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kazak89
      Автор kazak89
      Добрый день!
      Прошу прощения, но тот же компьютер снова зашифровали
       
      Прошу помощи
       
       
      CollectionLog-2017.12.13-20.00.zip
      Инструкция по расшифровке.TXT
    • asarus
      Автор asarus
      Здравствуйте!
       
      Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.
       
      Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).
       
      На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.
       
      1C на данным момент работает, видимых проблем пока не обнаружено.
       
      Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).
       
      Логи приложил.
       
      Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?
       
      На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.
       
      Спасибо.
       




      virusinfo_syscheck.zip
      Инструкция по расшифровке.TXT
      Настройка сертификата для 1C.doc.zip
    • Leoni_d
      Автор Leoni_d
      День добрый,
       
      зашифровались файлы , понимаю что вернуть бесполезно , но хотелось ты избавится от заразы
       
    • kirill2323
      Автор kirill2323
      День добрый.
      В продолжение https://forum.kasperskyclub.ru/index.php?showtopic=57739
      Нашел таки я компьютер зараженный. Тему перенесенную в беседку удалите пожалуйста.
      Вобщем .scarab зашифровал раб стол и документы полностью. Проверил куреит'ом. 8 файлов обезврежено.
       
       
      CollectionLog-2017.11.24-10.22.zip
    • Pavel Seregin
      Автор Pavel Seregin
      Здравствуйте, поймали вирус-шифровальщик, зашифровал машину примерно 80%, но человек выключил пк резко из розетки, удалось поймать несколько файлов а именно файл который привел к заражению, так же файл который по предположению шифровал файлы, лог собранный программой прилагаю

      Добавляю файлы от программы  Farbar Recovery Scan Tool
      CollectionLog-2017.11.23-19.11.zip
      Addition.txt
      FRST.txt
      Shortcut.txt
×
×
  • Создать...