SergeyLSA 0 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Добрый день , помогите восстановить данные после шифровщика Антивирус ничего не нашел файлы теперь переименованы в email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-1Cv8.1CD.doubleoffset Файлы FRST.txt и Addition.txt прикреплены Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Здравствуйте! Начните с логов по правилам: Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
SergeyLSA 0 Опубликовано 17 июня, 2019 Автор Share Опубликовано 17 июня, 2019 Файлы логов и farbara прикрепляю CollectionLog-2019.06.17-09.12.zip farbar.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 15-06-2019 Ran by Sergey (ATTENTION: The user is not administrator) Переделайте от имени администратора. Цитата Ссылка на сообщение Поделиться на другие сайты
SergeyLSA 0 Опубликовано 17 июня, 2019 Автор Share Опубликовано 17 июня, 2019 (изменено) прикрепил CollectionLog-2019.06.17-09.29.zip faradmn.zip Изменено 17 июня, 2019 пользователем SergeyLSA Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Scan result of Farbar Recovery Scan Tool (FRST) (x64)Эти переделайте, пожалуйста. Цитата Ссылка на сообщение Поделиться на другие сайты
SergeyLSA 0 Опубликовано 17 июня, 2019 Автор Share Опубликовано 17 июня, 2019 Scan result of Farbar Recovery Scan Tool (FRST) (x64)Эти переделайте, пожалуйста. faradmn.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction ? <==== ATTENTION GroupPolicyUsers\S-1-5-32-545\User: Restriction <==== ATTENTION 2019-06-14 23:18 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-14 23:18 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Local\README.txt 2019-06-14 23:14 - 2019-06-14 23:17 - 000001275 _____ C:\Users\Все пользователи\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:14 - 2019-06-14 23:17 - 000001275 _____ C:\ProgramData\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:14 - 2019-06-14 23:17 - 000000078 _____ C:\Users\Все пользователи\README.txt 2019-06-14 23:14 - 2019-06-14 23:17 - 000000078 _____ C:\ProgramData\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\Downloads\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\Documents\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Downloads\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Documents\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Desktop\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\Roaming\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\LocalLow\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\Downloads\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\Documents\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Downloads\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Documents\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Desktop\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Roaming\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\LocalLow\README.txt 2019-06-14 23:10 - 2019-06-14 23:17 - 000001275 _____ C:\Users\Lev\AppData\Local\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Несколько небольших зашифрованных офисных документов упакуйте в архив и тоже прикрепите к следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
SergeyLSA 0 Опубликовано 17 июня, 2019 Автор Share Опубликовано 17 июня, 2019 офисные документы не пострадали , в основном файлы 1с , вложил в архив Fixlog.txt renamed.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Смените пароль на RDP и некоторое время подождите. Цитата Ссылка на сообщение Поделиться на другие сайты
SergeyLSA 0 Опубликовано 17 июня, 2019 Автор Share Опубликовано 17 июня, 2019 Смените пароль на RDP и некоторое время подождите. Спасибо, ждем. Можете уточнить как возможно что данные менялись под учеткой, который в целом нет в списке ? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Вы об этой? C:\Users\Lev Цитата Ссылка на сообщение Поделиться на другие сайты
SergeyLSA 0 Опубликовано 17 июня, 2019 Автор Share Опубликовано 17 июня, 2019 (изменено) Вы об этой? C:\Users\Lev Да , эта запись была изменена более года назад и под таким наименованием просто отсутствовала , а в логах фигурирует Изменено 17 июня, 2019 пользователем SergeyLSA Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Причем, в логах разных утилит. Поэтому возможно она все-таки есть, смотрите внимательно. К сожалению, расшифровки для этой версии нет. Проверьте уязвимые места системы: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 25 июня, 2019 Share Опубликовано 25 июня, 2019 Прикрепите пару файлов: зашифрованный и его оригинал до шифрования. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.