SergeyLSA 0 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Добрый день , помогите восстановить данные после шифровщика Антивирус ничего не нашел файлы теперь переименованы в email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-1Cv8.1CD.doubleoffset Файлы FRST.txt и Addition.txt прикреплены Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Здравствуйте! Начните с логов по правилам: Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
SergeyLSA 0 Опубликовано 17 июня, 2019 Автор Share Опубликовано 17 июня, 2019 Файлы логов и farbara прикрепляю CollectionLog-2019.06.17-09.12.zip farbar.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 15-06-2019 Ran by Sergey (ATTENTION: The user is not administrator) Переделайте от имени администратора. Ссылка на сообщение Поделиться на другие сайты
SergeyLSA 0 Опубликовано 17 июня, 2019 Автор Share Опубликовано 17 июня, 2019 (изменено) прикрепил CollectionLog-2019.06.17-09.29.zip faradmn.zip Изменено 17 июня, 2019 пользователем SergeyLSA Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Scan result of Farbar Recovery Scan Tool (FRST) (x64)Эти переделайте, пожалуйста. Ссылка на сообщение Поделиться на другие сайты
SergeyLSA 0 Опубликовано 17 июня, 2019 Автор Share Опубликовано 17 июня, 2019 Scan result of Farbar Recovery Scan Tool (FRST) (x64)Эти переделайте, пожалуйста. faradmn.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction ? <==== ATTENTION GroupPolicyUsers\S-1-5-32-545\User: Restriction <==== ATTENTION 2019-06-14 23:18 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-14 23:18 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Local\README.txt 2019-06-14 23:14 - 2019-06-14 23:17 - 000001275 _____ C:\Users\Все пользователи\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:14 - 2019-06-14 23:17 - 000001275 _____ C:\ProgramData\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:14 - 2019-06-14 23:17 - 000000078 _____ C:\Users\Все пользователи\README.txt 2019-06-14 23:14 - 2019-06-14 23:17 - 000000078 _____ C:\ProgramData\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\Downloads\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Public\Documents\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Downloads\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Documents\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\Desktop\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\Roaming\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\LocalLow\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000001275 _____ C:\Users\Lev\AppData\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\Downloads\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Public\Documents\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Downloads\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Documents\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\Desktop\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\Roaming\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\README.txt 2019-06-14 23:10 - 2019-06-14 23:18 - 000000078 _____ C:\Users\Lev\AppData\LocalLow\README.txt 2019-06-14 23:10 - 2019-06-14 23:17 - 000001275 _____ C:\Users\Lev\AppData\Local\email-butterfly.iron@aol.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Несколько небольших зашифрованных офисных документов упакуйте в архив и тоже прикрепите к следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
SergeyLSA 0 Опубликовано 17 июня, 2019 Автор Share Опубликовано 17 июня, 2019 офисные документы не пострадали , в основном файлы 1с , вложил в архив Fixlog.txt renamed.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Смените пароль на RDP и некоторое время подождите. Ссылка на сообщение Поделиться на другие сайты
SergeyLSA 0 Опубликовано 17 июня, 2019 Автор Share Опубликовано 17 июня, 2019 Смените пароль на RDP и некоторое время подождите. Спасибо, ждем. Можете уточнить как возможно что данные менялись под учеткой, который в целом нет в списке ? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Вы об этой? C:\Users\Lev Ссылка на сообщение Поделиться на другие сайты
SergeyLSA 0 Опубликовано 17 июня, 2019 Автор Share Опубликовано 17 июня, 2019 (изменено) Вы об этой? C:\Users\Lev Да , эта запись была изменена более года назад и под таким наименованием просто отсутствовала , а в логах фигурирует Изменено 17 июня, 2019 пользователем SergeyLSA Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 17 июня, 2019 Share Опубликовано 17 июня, 2019 Причем, в логах разных утилит. Поэтому возможно она все-таки есть, смотрите внимательно. К сожалению, расшифровки для этой версии нет. Проверьте уязвимые места системы: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 25 июня, 2019 Share Опубликовано 25 июня, 2019 Прикрепите пару файлов: зашифрованный и его оригинал до шифрования. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти