Даниил Янченко 0 Опубликовано 11 июня, 2019 Share Опубликовано 11 июня, 2019 (изменено) Добрый день: зашифровал все файлы сегодня. лог прилагаю Из-за чего произошло не знаю: компьютер серверный была она слабозащищенная учетка - ее удалил. До этого на компе вылезла такая надпись пользователь Asus/продавец отклонил ваш запрос на отключение CollectionLog-2019.06.11-20.39.zip Изменено 11 июня, 2019 пользователем Даниил Янченко Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 12 июня, 2019 Share Опубликовано 12 июня, 2019 Здравствуйте,С расшифровкой не поможем (это что касается силами добровольцев форума). Сами ставили RDP Wrapper?Вам знакома следующее? O4 - User Startup: C:\Users\Сервер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Запуск1с.bat - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Даниил Янченко 0 Опубликовано 12 июня, 2019 Автор Share Опубликовано 12 июня, 2019 (изменено) Добрый день. User Startup: C:\Users\Сервер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Запуск1с.bat - знакома - это наш скрипт RDP Wrapper - не сам ставил, 1с ставил, когда серверную 1с делал FRST.txt Addition.txt Изменено 12 июня, 2019 пользователем Даниил Янченко Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 12 июня, 2019 Share Опубликовано 12 июня, 2019 Удалите следующее ПО, если оно вам незнакомо или не используете его через панель управления. NativeDesktopMediaService (HKLM-x32\...\{4CF9B388-78FA-46C3-B409-196FE2CF5F20}) (Version: 3.6.0 - Jetmedia) <==== ATTENTION One System Care (HKLM-x32\...\OneSystemCare_is1) (Version: 4.4.0.3 - One System Care) <==== ATTENTION Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== ATTENTION Похоже шифровальщик находиться по следующему пути, согласно отчету "Защитник Windows" \\tsclient\R\1MedicalPc.exe Ссылка на сообщение Поделиться на другие сайты
Даниил Янченко 0 Опубликовано 13 июня, 2019 Автор Share Опубликовано 13 июня, 2019 Я так понимаю, что зашли под удаленным доступом Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 13 июня, 2019 Share Опубликовано 13 июня, 2019 Похоже на то. Пробуйте отправить запрос на расшифровку по следующуй инструкции: https://forum.kasperskyclub.ru/index.php?showtopic=48525 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти