Перейти к содержанию

Рекомендуемые сообщения

Добрый день, сегодня, обнаружили что все файлы кроме основной базы на сервере зашифрованы (скорей всего она была запущена просто), id-C67A74C2.[dr.decrypt@aol.com].dr, есть возможность что то сделать?

прикрепил пример файлов, и скан из FRST64

id-C67A74C2.[dr.decrypt@aol.com].dr.rar Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, mike 1 сказал:

сорри, прикрепляю

кстати просканировал ремувал тул от касперского, закинуло 2 вируса в карантин этих.

CollectionLog-2020.06.09-14.45.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteService('Windows Terminal Service Control (managed by AlwaysUpService)');
 DeleteService('WindowsDefend');
 DeleteService('Bios');
 TerminateProcessByName('c:\windows\fonts\s\svchost.exe');
 QuarantineFile('c:\windows\fonts\s\svchost.exe','');
 DeleteFile('c:\windows\fonts\s\svchost.exe','32');
ExecuteSysClean;
end.

 

Перезагрузите сервер. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

Пофиксите следующие строчки в HiJackThis (Используйте версию из папки Автологгера).

 

O22 - Task: system - C:\Windows\system32\taskkill.exe /im taskmgr.exe /f
O22 - Task: systems - C:\Windows\system32\taskkill.exe /im prefmon.exe /f

 

Сделайте новые логи Автологгером. 
 

Ссылка на сообщение
Поделиться на другие сайты

все сделал, ошибок не было, вот новый лог,  

CollectionLog-2020.06.09-20.20.zip

 

карантин отправил на почту.

Изменено пользователем Demys
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    
    2020-04-16 19:11 - 2019-06-29 03:31 - 000858624 _____ C:\Windows\system32\qw.exe
    2020-04-16 19:10 - 2020-04-16 19:10 - 080712548 _____ C:\Windows\b1.exe
    2020-04-16 19:10 - 2020-04-16 19:10 - 058814836 _____ C:\Windows\w.exe
    2020-04-16 19:10 - 2020-04-16 19:10 - 004387608 _____ C:\Windows\wget.exe
    2020-04-16 19:10 - 2020-04-16 19:10 - 004086900 _____ C:\Windows\rm.exe
    2020-04-16 19:10 - 2020-04-16 19:10 - 003694396 _____ C:\Windows\up.exe
    
    2020-04-16 19:10 - 2020-04-16 19:10 - 000000000 _____ C:\Windows\fix.exe
    
    virustotal: C:\Users\ftp\Desktop\blue.exe
    
    zip:C:\FRST\Quarantine
    
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Смените все пароли. Файлы зашифрованы с помощью шифровальщика Crusis. Расшифровки этой модификации шифровальщика нет. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Петр Василевский
      От Петр Василевский
      компьютеры остались включенными на ночь
      утром обнаружил вирус
      курейтом просканил
      прошу помочь
      CollectionLog-2020.07.15-14.21.zip
    • kost7
      От kost7
      Здравствуйте!
      По какой то причине зашифровался рабочий компьютер. Фалы стали иметь вид [how_decrypt@aol.com].HOW. И это при установленном лицензионном антивирусе "Касперский". Проверка на вирусы ни чего не дала.
      Зайти для подтверждения лицензии тоже не дает.
      Вы сможете помочь в решении проблемы с расшифровкой и удалением вируса?




      CollectionLog-2020.06.22-10.10.zip
    • x86desman
      От x86desman
      Добрый день!
       
      Пойман шифровальщик [openpgp@foxmail.com]. Вирус не успел до конца все зашифровать, но существенная часть информации повреждена. Письма с требованием заплатить не получали. Самостоятельно найденная сторонняя организация говорит, что может помочь, но ценник ставит неподъемный. Однако это намекает на возможность дешифровки? Есть ли возможность помочь? Зашифрованные файлы прилагаются.
       
      Спасибо!
      Народная асвета (1-4).xls.id-A69E42B6.[openpgp@foxmail.com].pgp Первоклассный городской праздник.docx.id-A69E42B6.[openpgp@foxmail.com].pgp
    • tonenkovs
      От tonenkovs
      Добрый день.
      В понедельник при подключении к ПК было выявлено, что все фалы зашифрованы и имеют расширение типа .id-D83E757F.[dr.decrypt@aol.com].dr
      На ПК базы 1С, пользователи доступ имели туда.
      Шифратор сработал в субботу ночью 06.06.2020.
      В компании используем антивирус Касперского, но там его не стояло, так как думали, что работают все со своих компьютеров, а не удаленно.
       
      Возможно ли расшифров ать - некоторые базы очень нужны.
      Лог прикладываю.
      CollectionLog-2020.06.09-09.45.zip
    • Grid
      От Grid
      Поймали trojan-ransom.win32.crysis.to и зашифровал все с расширением id-70A0A0A5.[how_decrypt@aol.com].HOW
      CollectionLog-2020.06.20-13.24.zip
×
×
  • Создать...